Social engineering: de menselijke schakel in de informatiebeveiliging

Transcriptie

1 DPM Janssen Social engineering: de menselijke schakel in de informatiebeveiliging Auteur: ing. DPM. Janssen Afstudeerdocent: dr. L. Consoli Referent: dr. P. van Bommel Plaats, datum: Nijmegen, november 2005 Instituut: Radboud Universiteit Nijmegen Richting: Master Informatiekunde Studentnummer: Mobiel: NII-thesis number: 17 Ik Pagina 1 van 118

2 DPM Janssen Voorwoord Na in totaal zes jaar zowel Mens & Informatica en Informatiekunde te hebben gestudeerd, kijk ik met voldoening terug op deze periode. Het eindresultaat van mijn studieperiode is deze scriptie, waarin verslag gedaan wordt van mijn afstudeeronderzoek. Het afstudeeronderzoek is uitgevoerd in het kader van de studie Informatiekunde aan de Radboud Universiteit te Nijmegen. Het onderzoek is tot stand gekomen na overleg met het Nijmeegs Instituut voor Informatica en Informatiekunde (IRIS). Dit onderzoek is uitgevoerd in een periode van 6 maanden, van juni 2005 tot en met november Ik wil een aantal personen en bedrijven bedanken die een bijdrage hebben geleverd aan het succesvol afronden van dit onderzoek. Bij deze wil ik mijn afstudeerbegeleider dr. L. Consoli bedanken voor zijn uitermate goede begeleiding van zowel het afstudeerproces als het advies op het gebied van de inhoudelijke aspecten. Tevens wil ik dr. P. van Bommel bedanken voor zijn rol als referent vanuit de Informatiekundegroep en tevens Wolter Pieters voor zijn deskundige adviezen. Tevens bedank ik mijn ouders voor jaren van financiële steun en het stimuleren van mijn persoonlijke ontwikkeling. De praktijk validatie van het onderzoek was nooit mogelijk geweest zonder de medewerking van bedrijven zoals: Fox-IT, EDP Audit Pool, KPMG, BSM Business Security Management, en Madison Gurkha. Rest mij u veel leesplezier te wensen, Nijmegen, november 2005 Radboud universiteit 2005 Niets uit deze uitgave mag worden verveelvoudigd en/of openbaar gemaakt door middel van druk, fotokopie, microfilm of op welke andere wijze ook, zonder voorafgaande toestemming van Radboud Universiteit Nijmegen. No part of this publication may be reproduced in any form by print, photo print, microfilm or any other means without written permission by Radboud University. Pagina 2 van 118

3 DPM Janssen Inhoudopgav e SAMENVATTING...5 TERMINOLOGIELIJST INLEIDING ACHTERGROND RELEVANTIE DOEL VAN HET DOCUMENT LEESWIJZER ONDERZOEK ONDERZOEKSVRAAG ONDERZOEKSOMGEVING ONDERZOEKSACTIVITEITEN SAMENHANG TUSSEN ONDERZOEKSACTIVITEITEN BEOOGDE RESULTATEN WAT IS SOCIAL ENGINEERING (SE) DE SOCIAL ENGINEERINGAANVAL SOCIAL ENGINEERINGFRAMEWORK DE VERSCHILLENDE METHODEN VAN SOCIAL ENGINEERING METHODEN IN RELATIE MET FASEN EN INFORMATIE-EENHEDEN CONCLUSIES FRAMEWORK HET SOCIAL ENGINEERINGAANVALSMODEL DRIJFVEREN ACHTER SOCIAL ENGINEERING DE HACKER-GEMEENSCHAP DRIJFVEREN CLASSIFICATIE VAN DE DRIJFVEREN SAMENVATTING SOCIAL ENGINEERING IN RELATIE MET EEN KWETSBAAR BEDRIJFSPROFIEL AANPAK PROFILERINGMETHODE MATCHEN DRIJFVEREN MATCHEN METHODEN KWETSBAARHEID BEDRIJFSASPECTEN HET KWETSBARE BEDRIJFSPROFIEL VOORKOMEN VAN EN WAPENEN TEGEN SOCIAL ENGINEERING AANPAK I DE SOCIAL ENGINEER METHODEN II SOCIAL ENGINEER DRIJFVEREN III INTERVIEW IV OPLOSSINGEN CONCLUSIES / ALGEMENE BESCHOUWINGEN Pagina 3 van 118

4 DPM Janssen 7.1 CONCLUSIES ALGEMENE BESCHOUWINGEN APPENDIX A VRAGENLIJST LITERATUUR BOEKEN ARTIKELEN OVERIG FIGUREN TABEL Pagina 4 van 118

5 DPM Janssen Samenvatting Social engineering: de menselijke schakel in de informatiebeveiliging Voor bedrijven en de overheid is het belangrijk dat gevoelige en geheime informatie niet in verkeerde handen zal vallen. Met de huidige stand van de techniek wordt het steeds moeilijker om deze informatie te beschermen als gevolg van de hogere connectiviteit. Bedrijven en overheden zijn aangesloten op het World Wide Web en daarmee zijn ze verbonden met de hele wereld. Er zijn tal van gespecialiseerde bedrijven die zich bezig houden met het beveiligen van informatie. Deze bedrijven bieden vaak technische oplossingen die ongewenste toegang tot informatie kunnen voorkomen. Echter niet alle beveiligingsproblemen kunnen opgelost worden met geavanceerde technologieën omdat de mens ook nog altijd een rol zal spelen. Een systeem kan waterdicht beveiligd zijn, maar er zullen altijd mensen toegang hebben tot dit systeem. De menselijke factor wordt vaak gezien als de zwakste schakel in de informatiebeveiliging omdat mensen goedgelovig, ongeïnformeerd, goed van vertrouwen en behulpzaam zijn. De techniek waarbij dankbaar gebruik wordt gemaakt van deze zwakheden van de mens wordt: Social Engineering genoemd. Social engineering kan omschreven worden als door hackers gebruikte psychologische trucs met als doel het verkrijgen van gevoelige informatie om toegang te krijgen tot beveiligde systemen. Om op een gestructureerd manier te komen tot oplossingen voor het social engineeringvraagstuk word tijdens het onderzoek antwoord gezocht op de volgende onderzoeksvraag: Wat zijn de drijfveren van de social engineer om bedrijven te kiezen als potentieel slachtoffer van een social engineeraanval? Wat is de relatie tussen deze drijfveren en een kwetsbaar bedrijfsprofiel? Hoe kunnen bedrijven die voldoen aan dit kwetsbare bedrijfsprofiel zich wapenen tegen social engineering en voorkomen dat ze slachtoffer worden? Om te komen tot een antwoord op de onderzoeksvraag is er onderzoek gedaan naar de drijfveren van de social engineer. Door te kijken naar de verschillende drijfveren achter social engineering worden manieren onderzocht om te voorkomen dat een bedrijf doelwit wordt van een social engineeringpoging. Ten eerste is gekeken naar de wereld van de hackers (hackergemeenschap) en de plaats van de social engineer hierbinnen. Het blijkt dat social engineering een techniek is die gebruikt wordt binnen de hacker-gemeenschap en geen aparte subcultuur. Daarom zijn alle drijfveren van de verschillende subculturen binnen de hacker gemeenschap bekeken en hieruit zijn drijfveren gedestilleerd die relevant zijn voor social engineering. Dit is gedaan door te kijken of de intentie van drijfveer kwaadaardig is, en tevens is er gekeken in praktijkcases over social engineering of de betreffende drijfveer hierin naar voren kwam. De intentie van de drijfveer moet kwaadaardig zijn omdat dit onderzoek zich richt op het bedrijfsleven dat ook daadwerkelijk schade moet ondervinden van een social engineeraanval. Nu de drijfveren bekend zijn worden de vastgestelde drijfveren gekoppeld aan bepaalde bedrijfsaspecten. Dit wordt gedaan door te kijken hoe de drijfveren inspelen op bepaalde bedrijfsaspecten. Als een social engineer bijvoorbeeld handelt vanuit de politieke drijfveer dan wordt er door de social engineer ingespeeld op het bedrijfsaspect strategie. In de strategie wordt de politiek van het bedrijf bepaald, als deze in strijd is met de politiek van de social engineer zal hij dit bedrijf zien als potentieel slachtoffer. Pagina 5 van 118

6 DPM Janssen Van deze bedrijfsaspecten is vastgesteld op welke punten ze kwetsbaar zijn voor social engineering. Uiteindelijk volgt er een bedrijfsprofiel dat kwetsbaar is voor social engineeraanvallen. Bedrijven die voldoen aan dit profiel lopen een verhoogd risico op een social engineeraanval en moeten dan ook passende maatregelen nemen. Bedrijven die voldoen aan het kwetsbare bedrijfsprofiel zullen zich moeten wapenen tegen deze dreiging. Om te kunnen wapenen moet er eerst naar de aanval zelf gekeken worden. Er is gebleken dat een aanval opgedeeld kan worden in vier verschillende fasen. Het einddoel bestaat uit de vierde fase en is informatie vrij krijgen uit informatiesystemen. Om dit te bereiken, moet de social engineer stukje bij beetje informatie inwinnen om zo vertrouwelijk over te komen (hij kent het bedrijfsjargon en namen/ functies van medewerkers) en hierdoor weet hij hoe het bedrijf in elkaar zit. Het draait bij een aanval dus allemaal om informatie. De social engineer wint deze informatie in door gebruik te maken van zestien verschillen methoden van social engineering die ieder weer een stukje informatie op leveren. Er is een informatiemodel van een aanval gemaakt waarin duidelijk wordt dat de bottleneck van de aanval de inloggevens omvat. Als de social engineer deze gegevens niet bemachtigd kan hij het informatiesysteem niet binnen komen en zijn einddoel dus niet realiseren. Als de bottleneck eenmaal beveiligd is zal een social engineeraanval op dit punt stuk lopen en wordt het einddoel dus niet bereikt. Er zijn echter ook drie methoden van social engineering die zich rechtsreeks richten op het einddoel en de bottleneck als het ware omzeilen. Het is dus zaak ook deze manieren te beveiligen. Het bleek dat het bij de bottleneck en de twee andere manieren ging om het gehele authentificatie proces. Als dit proces op een andere manier wordt ingevuld wordt het de social engineer moeilijk gemaakt om binnen te komen. Het probleem bij de authentificatie is dat een medewerker van een bedrijf een geheim bezit waarmee hij toegang kan krijgen tot systemen en locaties. Omdat de social engineer met psychologische trucs een medewerker zo ver krijgt dat hij zijn inloggevens vrij geeft, moet er een oplossing geboden worden waarmee het onmogelijk is de gegevens vrij te geven. Na analyse van een aantal authentificatie methoden kwam er naar voren dat biometrie een perfecte oplossing zal bieden voor dit probleem. Omdat een biometrische eigenschap, zoals een vingerafdruk, van jezelf is kun je deze niet afstaan. Daarmee is het voor de social engineer onmogelijk gemaakt om deze via zijn gebruikte methoden te ontfrutselen aan de medewerker. Als beste techniek voor het social engineeringprobleem op te lossen in gekozen voor vingerafdruk verificatie omdat deze techniek zeer accuraat en betrouwbaar is en dus in de praktijk al veel gebruikt wordt. Naast het wapenen tegen een aanval, dat inhoudt dat een aanval die eenmaal in gang is gezet tot stoppen wordt gebracht, kan een aanval ook voorkomen worden. Uit de drijfveren en daaruit volgend het kwetsbare bedrijfsprofiel, is duidelijk geworden waarom de social engineer een bedrijf kiest als potentieel slachtoffer. Het is van belang voor bedrijven die in meer of mindere mate voldoen aan dit kwetsbare bedrijfsprofiel deze bedrijfsaspecten een andere invulling te geven. Dit zal een bedrijf niet altijd lukken met als gevolg dat het bedrijf toch potentieel kandidaat blijft als dit het geval is zal het bedrijf zich moeten richten op de methoden om zich te wapenen tegen een aanval. Pagina 6 van 118

7 DPM Janssen Terminologielijst (1) Firewall Veiligheidsvoorziening. In het Nederlands ook wel brandmuur of vuurmuur genoemd. Bij het kopiëren van bestanden van een andere computer naar de eigen computer kunnen ook virussen binnengehaald worden. Om dat te voorkomen is een FIREWALL een beschermingsmogelijkheid. Het is een beveiliging tussen het externe (Internet) en het interne netwerk (LAN), die probeert te voorkomen dat onbevoegden toegang krijgen tot het interne netwerk. Men kan wel van binnen naar buiten gaan, maar niet andersom. (2) Encryptie Data beveiligen door ze met een speciale code te versleutelen. (3) Root access Toegang tot een systeem/netwerk met alle rechten (openen, schrijven, wijzigen) (4) Intrusion Detection Systemen Een technologie die aanvallen op een infrastructuur detecteert, hierover alarmeert en rapporteert en zoveel mogelijk aanvallen blokkeert en ongedaan maakt. (5) Inbel-account Hiermee kan een medewerker vanaf elke gewenste locatie buiten het bedrijf inloggen op het bedrijfsnetwerk. (6) Virus scanner Voorkomt en verwijdert virussen vanaf een computer (7) Keylogger Programma waarmee een kwaadwillende hacker de mogelijkheid heeft om een geïnfecteerde computer binnen te dringen. Met zo'n programma kan dan privacygevoelige informatie (zoals wachtwoorden en creditcardnummers) achterhaald worden. (8) Backdoor Letterlijk: achterdeur. Door hackers gebruikte uitdrukking voor een gat in een computerprogramma. Vaak wordt zo'n extra ingang met opzet door een programmeur in een programma gemaakt, waardoor een programmeur altijd in de door hem ontwikkelde programmatuur komt. Gebruikers zijn vaak niet bekend met deze mogelijkheid. (9) Patch Term die wordt gebruikt voor reparatiesoftware. Kleine wijzigingen die direct in een programma worden doorgevoerd om het desbetreffende programma te repareren of te verbeteren. (10) Publieke server Een plaats waar bestanden (bijvoorbeeld een website) fysiek opgeslagen kunnen worden zonder dat de identiteit van de eigenaar bekent is. (11) Trojan horse Een Trojaans paard is onschuldig ogend computerprogramma met kwade bedoelingen. Het is in feite een stukje binaire code (of Pagina 7 van 118

8 DPM Janssen een macro) dat zich voordoet als een bruikbaar stuk software, maar - eenmaal genesteld in de computer van het slachtoffer - vertrouwelijke informatie naar de maker ervan stuurt. Bijvoorbeeld toetsaanslagen, passwords of hele documenten. (12) Spam Ongewenste , vaak reclame, maar wordt ook gebruikt om iemand die zich misdragen heeft op het net, te straffen. De officiële term is UCE. Soms worden grote hoeveelheden aan een groot aantal nieuwsgroepen gestuurd. Ook gebruikt voor kettingbrieven. (13) Tools Engels voor gereedschap, in allerlei vormen en voor allerlei doeleinden. Bijvoorbeeld gereedschap om beschadigde bestanden te herstellen. Pagina 8 van 118

9 DPM Janssen 1 Inleiding 1.1 Achtergrond Voor bedrijven en de overheid is het belangrijk dat gevoelige en geheime informatie niet in verkeerde handen zal vallen. Met de huidige stand van de techniek wordt het steeds moeilijker om deze informatie te beschermen. Als gevolg van de hogere connectiviteit. Bedrijven en overheden zijn aangesloten op het World Wide Web en daarmee zijn ze verbonden met de hele wereld. Er zijn tal van gespecialiseerde bedrijven die zich bezig houden met het beveiligen van informatie. Deze bieden vaak technisch oplossingen die ongewenste toegang tot informatie kunnen voorkomen. Echter niet alle beveiligingsproblemen kunnen opgelost worden met geavanceerde technologieën omdat de mens ook nog altijd een rol zal spelen. Een systeem kan waterdicht beveiligd zijn, maar er zullen altijd mensen toegang hebben tot dit systeem. De menselijke factor wordt namelijk vaak gezien als de zwakste schakel in de informatiebeveiliging omdat mensen goedgelovig, ongeïnformeerd, goed van vertrouwen en behulpzaam zijn. De techniek waarbij dankbaar gebruik wordt gemaakt van deze zwakheden van de mens wordt Social Engineering genoemd. In het vervolg wordt social engineering afgekort door middel van SE. De social engineer zal zich richten op deze zwakheden van de mens om zo toegang te krijgen tot de beveiligde informatie. SE kan beschreven worden als de kunst en wetenschap om mensen te laten doen wat jij wilt (Bernz) [GRAN], of door hackers gebruikte psychologische trucs met als doel het verkrijgen van gevoelige informatie om toegang te krijgen tot beveiligde systemen (Palumbo) [GRAN]. 1.2 Relevantie Praktische relevantie Uit de geraadpleegde achtergrond literatuur [INLEES], met daarin praktijkcases, is gebleken dat social engineering door bedrijven vaak niet onderkent wordt. De meeste aandacht wordt gericht op technische maatregelen zoals het gebruik van firewall (1), encryptie software (2), Intrusion Detection Systems (4), Anti virus software (6) om vertrouwelijke informatie te beschermen [ARI]. In de praktijk blijkt, dat beveiligingsbedrijven bij hun klanten de nadruk leggen op de technische oplossingen. Aan de menselijke kant wordt nauwelijks gedacht. De maatregelen die bedacht zijn door beveiligingsbedrijven om de menselijke kant te beveiligen zijn vaak vanuit de praktijk geboren. Er bestaat een probleem in de praktijk dat onmiddellijk wordt opgelost door gebruik te maken van een passende oplossing. Er wordt dus een passende oplossing gebruikt die waarschijnlijk niet de meest optimale is en meestal een korte termijn oplossing zal omvatten. Dit onderzoek zal praktisch relevant zijn omdat de oplossingen die geboden worden gestructureerd en tevens meteen toepasbaar zijn Wetenschappelijke relevantie Uit de geraadpleegde achtergrond literatuur [INLEES] is gebleken dat er weinig wetenschappelijk onderzoek naar het fenomeen SE is gedaan. In dit onderzoek wordt door het toepassen van beproefde wetenschappelijke methoden gezocht naar de meest efficiënte manier om SE te bestrijden. Omdat bedrijven vaak weinig geld en tijd hebben voor dit soort onderzoek is er dus nauwelijks naar de wetenschappelijke achtergrond gekeken van het fenomeen SE. Met de uitvoering van dit onderzoek wordt er een eventuele oplossing geboden die gebaseerd is op een wetenschappelijk onderzoek. Pagina 9 van 118

10 DPM Janssen 1.3 Doel van het document Het doel van dit document is tweeledig. Enerzijds zal dit document bestemd zijn voor de examencommissie van de Radboud Universiteit Nijmegen en heeft als doel het beschrijven van het afstudeerproject dat als bewijs moet dienen dat aan alle exameneisen is voldaan. Anderzijds is het de bedoeling dat het document van grote waarde zal zijn voor bedrijven die tijdens het onderzoek zijn bestempeld als potentiële kandidaat van een SE-aanval. Deze bedrijven wordt een oplossing geboden voor het SE-probleem die wetenschappelijk onderbouwd is. Verder is het antwoord op de onderzoeksvraag ook interessant voor de verschillende beveiligingsbedrijven die zich richten op SE. 1.4 Leeswijzer De opbouw van het document zal er als volgt uitzien: In hoofdstuk 2 Onderzoek zal worden beschreven hoe het onderzoek is opgebouwd. Ten eerste zal het belangrijkste deel van het onderzoeksplan De onderzoeksvraag besproken worden. Vervolgens wordt er gekeken naar de omgeving waarbinnen het onderzoek wordt uitgevoerd. Om te kijken wat er allemaal tijdens het project gedaan is, worden de onderzoeksactiviteiten beschreven en daarna wordt natuurlijk ook de samenhang tussen deze activiteiten uitvoerig besproken. Om maatregelen tegen SE te treffen en hier onderzoek naar te doen zal duidelijk moeten zijn wat dit fenomeen nou precies inhoudt, dit onderwerp komt uitgebreid aan bod in Hoofdstuk 3 Wat is social engineering. Eerst zal er gekeken worden naar de opbouw van een SE-aanval. Vervolgens wordt er gekeken naar een framework waarmee een SE-methode beschreven kan worden. Uit praktijkcases kunnen verschillende methoden van SE worden gedestilleerd. Omdat informatie een grote rol speelt bij een aanval zal dit aspect ook uitvoerig worden besproken in dit hoofdstuk. Aan het slot van dit hoofdstuk zullen alle aspecten van een SEaanval worden ondergebracht in een aanvalsmodel. Om tot een goede analyse van het fenomeen te komen wordt er ook gekeken vanuit de SE zelf, dit onderwerp wordt uitgediept in Hoofdstuk 4 Drijfveren achter social engineering Binnen dit hoofdstuk wordt gekeken naar de verschillende stromen binnen de hacker gemeenschap en wat de plaats van de social engineer hierbinnen is. Hieruit worden de ethische principes en drijfveren van de social engineer gedestilleerd. Er wordt dus bepaald vanuit welke drijfveren de social engineer handelt. Hoofdstuk 5 Social engineering in relatie met een kwetsbaar bedrijfsprofiel geeft weer welke soort bedrijven een verhoogd risico lopen om slachtoffer van een SE-aanval te worden. Om dit te bepalen wordt er eerste een keuze gemaakt voor een methode waarmee een bedrijfsprofiel opgesteld kan worden. Vervolgens wordt deze methode toepast, door te kijken naar gevoelige bedrijfsaspecten. In het laatste gedeelte wordt een bedrijfsprofiel dat kwetsbaar is voor social engineeraanvallen gepresenteerd. Er worden een aantal oplossingen geboden om een SE-aanval te voorkomen of tot stoppen te brengen. Dit komt aan bod in Hoofdstuk 6 Voorkomen van en wapenen tegen social engineering. Er worden bestaande preventie methoden bekeken. Vervolgens wordt gekeken welke informatie er cruciaal is voor een SE-aanval en hoe deze het beste kan worden Pagina 10 van 118

11 DPM Janssen beveiligd. Er worden nieuwe oplossingen geboden en bestaande oplossingen worden ter discussie gesteld. Het afsluitende Hoofdstuk 7 Conclusies / Algemene beschouwingen geeft algemene conclusies van het onderzoek weer. Dit is tevens het antwoord op de onderzoeksvraag. Tevens wordt beschreven waar verder onderzoek mogelijk is en wordt het onderzoek in een breder kader bekeken. Tijdens het onderzoek is er ook een vragenlijst gestuurd naar een aantal gerenommeerde Nederlandse beveiligingsbedrijven. Deze bedrijven houden zich bezig met tal van beveiligingsvraagstukken. De antwoorden op de vragenlijst hebben betrekking op zowel Hoofdstuk 3, Hoofdstuk 4, Hoofdstuk 5 en Hoofdstuk 6 en zullen hierin dan ook verwerkt worden. De vragenlijst is terug te vinden in Appendix A Interview. Verwijzingen in het document aangegeven met ronde haken ( ) zijn terug te vinden in de Terminologielijst. De index van de gebruikte figuren in het document is te vinden onder Figuren tabel. Verwijzingen in het document aangegeven met vierkante haken [ ] zijn terug te vinden in de Literatuurlijst. Pagina 11 van 118

12 DPM Janssen 2 Onderzoek In de inleiding is duidelijk geworden dat social engineering een probleem vormt voor het huidige bedrijfsleven. In dit onderzoek wordt gezocht naar een passende oplossing voor het SE-vraagstuk. Er is binnen dit gebied nauwelijks onderzoek gedaan. Beveiligingsbedrijven bieden wel oplossingen om SE tegen te gaan, maar vaak is het een kwestie van de kans op een geslaagde aanval te verminderen zodat een aanval niet 100% is af te slaan. De oplossingen die door beveiligingsbedrijven worden geboden zijn ook uit de praktijk geboren en hebben dus nauwelijks een wetenschappelijke onderbouwing. In dit onderzoek wordt een oplossing voor SE-aanvallen aangedragen die meteen toepasbaar is in de praktijk. Voor aanvang van het onderzoek is er een onderzoeksplan opgesteld waarin het onderzoek gestructureerd wordt. Het belangrijkste deel van dit onderzoeksplan de onderzoeksvraag wordt in paragraaf 2.1 besproken. Vervolgens wordt er gekeken binnen welke omgeving het onderzoek wordt uitgevoerd. Het onderzoek zal opgedeeld worden in vier deelonderzoeken met ieder hun eigen bijdrage voor het eindresultaat. Deze opzet van deze vier onderzoeken zal uiteengezet worden in paragraaf 2.3 Onderzoeksactiviteiten. Al deze vier deelonderzoeken dragen bij tot een uiteindelijk einddoel van het onderzoek. In paragraaf 2.4 wordt de onderlinge samenhang van de vier deelonderzoeken besproken en natuurlijk ook waarom deze deelonderzoeken relevant zijn. 2.1 Onderzoeksvraag Tijdens het onderzoek wordt er gezocht naar een antwoord op de onderzoeksvraag. De onderzoeksvraag is van wetenschap. Het is de bedoeling dat het onderzoek een bijdrage levert aan de wetenschap en uiteindelijk van adviserende aard is, er wordt namelijk een stukje advies aan bedrijven in Nederland gegeven betreffende het voorkomen van en wapenen tegen SE-aanvallen. De volgende onderzoeksvraag wordt gehanteerd tijdens het onderzoek: Wat zijn de drijfveren van de social engineer om bedrijven te kiezen als potentieel slachtoffer van een social engineeraanval? Wat is de relatie tussen deze drijfveren en een kwetsbaar bedrijfsprofiel? Hoe kunnen bedrijven die voldoen aan dit kwetsbare bedrijfsprofiel zich wapenen tegen social engineering en voorkomen dat ze slachtoffer worden? Om antwoord te kunnen geven op deze onderzoeksvraag zullen eerst een aantal subvragen beantwoord moeten worden: - Wat is social engineering? - Hoe ziet een social engineeringaanval eruit? - Welke drijfveren bestaan er binnen de hacker-gemeenschap? - Welke rol speelt social engineering binnen de hacker-gemeenschap? - Welke drijfveren liggen ten grondslag aan hacker-aanvallen? - Welke drijfveren liggen ten grondslag aan social engineering? - Met welke bedrijfsaspecten kun je een bedrijfsprofiel optellen? - Met welke bedrijfsaspecten kun je de drijfveren van een social engineer matchen? Pagina 12 van 118

13 DPM Janssen - Met welke bedrijfsaspecten kun je een social engineermethode matchen? - Welk bedrijfsprofiel, opgesteld aan de hand van bedrijfsaspecten, is gevoelig voor social engineeringaanvallen? - Welke aspecten van het bedrijf moeten er beveiligd worden - Welke maatregelen kunnen er getroffen om een social engineering te voorkomen Voor het opstellen van de onderzoeksvraag is gebruik gemaakt van de methode: Een onderzoek voorbereiden van Heinze Oost [OOST]. Zoals het onderstaande model (figuur 1) weergeeft staat de vraag centraal binnen het onderzoek en staat in relatie met een aantal andere aspecten. Deze aspecten kunnen gezien worden als een soort puzzelstukjes die in elkaar moeten passen. Als de stukjes perfect in elkaar passen kan er aangenomen worden dat de kwaliteit van de onderzoeksvraag gegarandeerd is. Kennisgebied Strategie Vraag Reden Antwoord Figuur 1: Structuurmodel van de onderzoeksvraag Het kennisgebied waarbinnen het onderzoek zich zal bevinden zal worden ingeperkt door bepaalde methoden die gebruikt worden en bepaalde keuzes die gemaakt zijn. Het vakgebied waarbinnen dit probleem zich begeeft is het vakgebied van de beveiliging van informatiesystemen en dan specifiek de menselijke kant hiervan. Dit vakgebied bestaat al zolang er informatiesystemen zijn en is te bestempelen als zeer dynamisch. Er worden namelijk continue nieuwe methoden en technieken ontwikkeld om informatiesystemen te kunnen beveiligen. Er zal dus gekeken worden vanuit het beveiligingsstandpunt. Verder zal het onderzoek zich ook nog bevinden op het gebied van bedrijfskunde. Door middel van bedrijfskundige methoden wordt er een bepaald bedrijfsprofiel opgezet. Verder zal er onderzoek gedaan worden op het gebied van de ICT in relatie met de maatschappij. Er zal gekeken worden wat de plaats is van de SE binnen de samenleving en wat de relatie is met de ICT en tevens vanuit welke drijfveren de SE zal handelen. Doordat de beveiliging van de informatiesystemen binnen bedrijven steeds geavanceerder wordt het steeds moeilijker voor een social engineer om met behulp van technische hulpmiddelen en technieken binnen te komen in deze systemen. De social engineer zal zich dan ook gaan richten op de zwakste schakel in de beveiliging van informatie systemen: de mens. Onder de mens ook wel wetware genoemd, verstaan we binnen dit onderzoek menselijke gebruikers die verbonden zijn aan informatiesystemen. [DIC] Vaak hebben bedrijven niet in de gaten dat ze een potentieel slachtoffer zijn van een SEaanval met als gevolg dat ze hier ook niet op voorbereid zijn. Aan de hand van de uitkomst van dit onderzoek zullen bedrijven, die voldoen aan het opgestelde kwetsbare bedrijfsprofiel, Pagina 13 van 118

14 DPM Janssen zich realiseren dat ze daadwerkelijk een potentieel slachtoffer zijn en dat ze dus passende maatregelen moeten treffen. Dit onderzoek zal dus duidelijk een praktische relevantie omvatten omdat er een praktische oplossing wordt gezocht voor een praktisch probleem. De gewenste situatie zal bestaan uit de situatie waarin bedrijven, die geïdentificeerd zijn als potentiële kandidaat, zich bewust worden van het feit dat ze kwetsbaar zijn en dat ze daarom passende maatregelen moeten treffen om zich te wapenen tegen SE-aanval en tevens moeten proberen een aanval te voorkomen. Door middel van onderzoek wordt dus vastgesteld wie deze potentiële kandidaten zijn en welke maatregelen ze kunnen treffen. Hiermee is de reden uit figuur 1 verantwoord. De strategie zal bestaan uit een literatuuronderzoek. Er zullen ook interviews bij beveiligingsbedrijven worden afgenomen met als doel een stukje praktijk validatie te bewerkstelligen. Er wordt gekeken hoe de praktijk staat tegenover de verschillende bevindingen in dit onderzoek. De strategie zal duidelijk worden in paragraaf 2.3 en 2.4 waar per deelonderzoek de gekozen strategie uiteen gezet wordt. Het antwoord op de onderzoeksvraag zal in de vorm van een adviesrapport (deze thesis) worden gegeven. In het antwoord komt naar voren welk bedrijfsprofiel kwetsbaar is en welke oplossingen er voor bedrijven geboden kunnen worden. Het adviesrapport is meteen toepasbaar in de praktijk doordat er praktische oplossingen aangedragen worden om SE tegen te gaan en te voorkomen. Met praktijk wordt het Nederlandse bedrijfsleven bedoeld. 2.2 Onderzoeksomgeving Het onderzoek is uitgevoerd aan de Radboud Universiteit Nijmegen in opdracht van de afdeling Information Retrieval and Information Systems (IRIS). Het onderzoek maakt gebruik van de meningen en feiten van een aantal in beveiliging van informatie gespecialiseerde bedrijven in Nederland. Als literatuur zijn er zowel wetenschappelijke bronnen als bronnen uit de praktijk gebruikt. De bronnen uit de praktijk bestaan uit praktijk cases en internetbronnen gerelateerd aan social engineeringonderwerpen. Bij de literatuur is geen beperking tot alleen Nederlandse bronnen gekozen omdat de literatuur binnen dit onderwerp als schaars aangemerkt kan worden. Tevens hebben de bronnen meestal een international karakter. Door de hoge connectiviteit van in het bijzonder Internet en telefonie kan de social engineer overal ter de wereld operen en hieruit zijn allerlei praktijk cases ontstaan. De resultaten van dit onderzoek zullen relevant zijn voor bedrijven die voldoen aan het in het onderzoek opgestelde kwetsbare bedrijfsprofiel en tevens voor beveiligingsbedrijven. 2.3 Onderzoeksactiviteiten Het onderzoek zal opgesplitst worden in vier deelonderzoeken. De deelonderzoeken zullen in dit document uitgebreid aan bod komen. De volgende vier deelonderzoeken kunnen onderscheiden worden: Deelonderzoek a Wat is social engineering Deelonderzoek b Drijfveren achter social engineering Deelonderzoek c Social engineering in relatie met een kwetsbaar bedrijfsprofiel Deelonderzoek d Voorkomen van en wapenen tegen social engineering Tijdens het onderzoek zullen ook nog een aantal beveiligingsbedrijven benaderd worden. Dit wordt gedaan om de conclusies en aannames uit de literatuur te voorzien van een stukje praktijk validatie. Pagina 14 van 118

15 DPM Janssen Deelonderzoek a Wat is social engineering Om te komen tot een antwoord op de algemene onderzoeksvraag van het onderzoek is er eerst gekeken naar wat SE nou precies inhoudt. Er is gekeken naar welke verschillende methoden van SE toegepast worden en wat het doel is van deze methoden. In dit deelonderzoek is er vooral gekeken naar bestaande cases waarin SE al dan niet geslaagd is uitgevoerd. Het doel van dit deelonderzoek is om duidelijk te maken dat SE wordt ervaren als een probleem en welke verschillende methoden er worden toegepast. Het resultaat van dit deelonderzoek zal besproken worden in hoofdstuk 3 Wat is social engineering. Voor het opstellen van een lijst met methoden van SE is er een literatuurstudie uitgevoerd. De methode die gebruikt wordt is de case study methode. Er is gezocht naar bestaande cases en deze zijn ondergebracht in een framework. Verder is er een literatuurstudie gebruikt om te achterhalen waarop een social engineeraanval zich richt binnen de getroffen bedrijven. De Data Flow Diagram methode [WORK] is gebruikt om alle aspecten van een aanval onder te brengen in een model. In deze methode wordt er stap voor stap in kaart gebracht hoe informatiestromen zich bewegen. De gevonden resultaten zijn voorgelegd aan verschillende beveiligingsbedrijven die zich bezighouden met het voorkomen en wapenen tegen social engineeraanvallen. De antwoorden op de vragen fungeren als een praktijk validatie van het geheel. Er wordt gekeken of de gevonden resultaten in de literatuur overeenkomen met de praktijk Deelonderzoek b Drijfveren achter social engineering In dit deelonderzoek is het van belang dat de verschillende drijfveren achter SE worden achterhaald. Een social engineer zal tijdens een aanval altijd handelen vanuit een bepaalde drijfveer. Binnen dit deelonderzoek zal er eerst gekeken worden wat er zich allemaal afspeelt binnen de hacker gemeenschap. SE is een techniek die gebruikt wordt binnen deze gemeenschap en er is gekeken binnen welke subculturen SE gebruikt wordt. Vervolgens wordt er gekeken naar de drijfveren achter verschillende hacker aanvallen. Er wordt dus niet zozeer gekeken vanuit een bepaalde subcultuur maar puur vanuit een aanval. De drijfveren die voortvloeien uit deze twee benaderingen zullen worden beschreven aan de hand van een aantal variabelen. Uit deze verzameling van drijfveren wordt bepaald welke drijfveren er relevant zijn voor de social engineer door te kijken naar een aantal criteria. De resultaten van dit deelonderzoek zullen bestaan uit een lijst van verschillende drijfveren achter SE die relevant zijn voor dit onderzoek. De resultaten worden beschreven in hoofdstuk 4 Drijfveren achter social engineering Deelonderzoek c social engineering in relatie met een kwetsbaar bedrijfsprofiel Om erachter te komen welke bedrijven een verhoogd risico lopen op een aanval van een social engineer is er in het vorige deelonderzoek gekeken naar de drijfveren achter een dergelijke aanval. In dit deelonderzoek zijn de drijfveren gekoppeld aan verschillende bedrijfsaspecten. Er is ook een koppeling gelegd tussen bedrijfsaspecten en de verschillende methoden van SE. Pagina 15 van 118

16 DPM Janssen Als we deze kwetsbare bedrijfsaspecten samen nemen hebben we een bedrijfsprofiel. Bedrijven die voldoen aan dit bedrijfsprofiel lopen een verhoogd risico om bloot gesteld te worden aan een SE-aanval. Het resultaat van dit deelonderzoek wordt beschreven in hoofdstuk 5 Social engineering in relatie met een kwetsbaar bedrijfsprofiel Voorkomen van en wapenen tegen social engineering Ter afsluiting van het onderzoek is er gekeken naar passende oplossingen waarmee bedrijven zich kunnen wapenen tegen SE-aanvallen en tevens worden maatregelen voorgesteld om een aanval te voorkomen. Er is gekeken naar een aantal bedrijven die voldoen aan het opgestelde kwetsbare bedrijfsprofiel. Er is gekeken welke maatregelen er binnen bedrijven reeds worden getroffen om SE tegen te gaan. Zo kan er gedacht worden aan ethische codes en het effect hiervan of aan bepaalde trainingsprogramma s binnen bedrijven maar ook aan technische hulpmiddelen die een rol kunnen spelen tijdens het voorkomen van en wapenen tegen social engineering. De bestaande oplossingen worden kritisch bekeken en aangevuld en/of vervangen door nieuwe oplossingen. Door te kijken naar de verschillende methoden van SE kunnen er verschillende oplossingen bedacht worden waardoor een aanval afgeslagen kan worden. Aan de andere kant wordt er gekeken naar een kwetsbaar bedrijfsprofiel. Bedrijven die voldoen aan dit profiel lopen een verhoogd risico om slachtoffer te worden van een SE-aanval. Bedrijven die voldoen aan dit profiel worden passende oplossingen geboden Interview Tijdens het onderzoek is naar een aantal gerenommeerde Nederlandse beveiligingsbedrijven een interview in de vorm van een vragenlijst verstuurd. Deze bedrijven houden zich bezig met tal van beveiligingsvraagstukken. De antwoorden op de vragenlijst hebben betrekking op alle vier hierboven genoemde deelonderzoeken. Voor de opzet en verantwoording van het interview zie Appendix A Interview. De antwoorden op de vragen zullen verwerkt worden in de hoofdstukken 3, 4, 5 en 6. Pagina 16 van 118

17 DPM Janssen 2.4 Samenhang tussen onderzoeksactiviteiten Het einddoel van het onderzoek is te komen tot een antwoord op de onderzoeksvraag. Om het probleem op een gestructureerde manier aan te pakken is het opgedeeld in vier deelonderzoeken (paragraaf 2.3) Deze vier deelonderzoeken leveren allen een bijdrage aan het antwoord op de onderzoeksvraag. De vier deelonderzoeken kunnen niet gezien worden als op zichzelf staande onderzoeken maar hebben een bepaalde samenhang. Het onderstaande figuur geeft de samenhang tussen de vier deelonderzoeken weer en tevens de relatie met het interview. A Social engineer methoden VI I B A Social engineer drijfveren Interview II III IV C Drijfveren in relatie met bedrijfsprofiel D Oplossingen V Figuur 2: Relaties tussen de verschillende onderzoeksactiviteiten De relaties tussen de verschillende deelonderzoeken zijn voorzien van een Romeinse nummering. In de volgende paragrafen worden de relaties verklaard Relatie I De relatie tussen de methoden en de drijfveren is te verklaren uit het feit dat uit de verschillende methoden van sociale engineering drijfveren te destilleren zijn. Het kan namelijk zo zijn dat een bepaalde methode uitgevoerd wordt vanuit een bepaalde drijfveer. Doormiddel van een analyse van de methode volgt dan automatisch de achterliggende drijfveer Relatie II De relatie tussen de methoden en de oplossingen is te verklaren uit het feit dat uit de verschillende methoden een bepaald model volgt. In dit model wordt duidelijk hoe een Pagina 17 van 118

18 DPM Janssen SE-aanval is opgebouwd. De oplossingen die bedacht zijn richten zich op bepaalde aspecten uit het model Relatie III De relatie tussen de drijfveren en de oplossingen is te verklaren uit het feit dat er bij het zoeken naar oplossingen ook gekeken is vanuit de drijfveren van een sociale engineer. De oplossingen zijn dus ook deels gebaseerd op de drijfveren van de social engineer Relatie IV De relatie tussen de drijfveren en het kwetsbare bedrijfsprofiel bestaat omdat het bedrijfsprofiel opgezet wordt aan de hand van de drijfveren. De drijfveren vormen dus de basis voor het creëren van het kwetsbare bedrijfsprofiel Relatie V De relatie tussen de oplossingen en het kwetsbare bedrijfsprofiel bestaat omdat de oplossingen die geboden worden bedoeld zijn voor bedrijven die voldoen aan het opgestelde bedrijfsprofiel Relatie VI De relatie tussen de Social engineermethoden en drijfveren in relatie met een kwetsbaar bedrijfsprofiel bestaat omdat bepaalde bedrijfsaspecten kunnen worden gematcht met bepaalde social engineer methoden. Een bedrijfsaspect kan bijvoorbeeld de grootte van het bedrijf zijn. Stel een bedrijf is zeer groot (heeft veel medewerkers), dan kan dit gematcht worden met bijvoorbeeld een methode van SE die alleen werkt bij grote bedrijven Relatie met interview Het interview staat in relatie met alle deelonderzoeken omdat de vragen in het interview betrekking hebben op elk deelonderzoek. De antwoorden op de vragen zullen dan ook in elke deelonderzoek verwerkt worden. 2.5 Beoogde resultaten Het uiteindelijke resultaat van het onderzoek zal bestaan uit de beantwoording van de onderzoeksvraag. Om te komen tot dit antwoord zullen eerst de afzonderlijke deelvragen beantwoord moeten worden. Het onderzoeksresultaat zal daarom bestaan uit de volgende onderdelen: - Een beschrijving van social engineering - Een overzicht van social engineeringmethoden - Een social engineeringaanval model - Een overzicht van drijfveren binnen de hacker-gemeenschap - Beschrijving van de rol van de social engineer binnen de hacker-gemeenschap - Een overzicht van drijfveren die ten grondslag liggen aan hacker-aanvallen - Een overzicht van drijfveren die ten grondslag liggen aan social engineeraanvallen - Beschrijving van bedrijfsaspecten - Een overzicht van bedrijfsaspecten gematcht met drijfveren - Een overzicht van bedrijfsaspecten gematcht met social engineeringmethoden Pagina 18 van 118

19 DPM Janssen - Een beschrijving van een kwetsbaar bedrijfsprofiel, bestaande uit bedrijfsaspecten die gevoelig zijn voor een social engineeraanval - Een beschrijving van bedrijfsaspecten die beveiligd moeten worden om social engineering tegen te gaan - Een overzicht van maatregelen die getroffen moeten worden om social engineering te voorkomen Deze onderzoeksresultaten zullen uiteindelijk leiden tot het antwoord op de onderzoeksvraag. Pagina 19 van 118

20 DPM Janssen 3 Wat is social engineering (SE) SE richt zich op de menselijke kant van de informatiebeveiliging. Aan informatiesystemen zijn altijd mensen gekoppeld. De social engineer probeert een informatiesysteem binnen te komen via de mensen die hieraan gekoppeld zijn door in te spelen op hun angsten en onwetendheid. Dit maakt het een unieke aanpak, omdat de meer traditionele aanpakken zich alleen richten op de technische kant. De traditionele hacker probeert binnen te komen door gebruik te maken van fouten en gaten in de techniek. [SEC] SE kan gezien worden als een techniek die gebruikt wordt binnen de hacker-gemeenschap. Deze techniek wordt regelmatig ingezet om bij bedrijven in te breken en zo dus gevoelige informatie in te winnen. Binnen SE zijn er verschillenden methoden die gebruikt worden. Deze methoden worden in dit hoofdstuk nader bekeken en beschreven aan de hand van verschillende variabelen. De social engineer kan bestaan uit zowel een insider als een outsider. Een insider bestaat uit een medewerker van een bedrijf die bijvoorbeeld onenigheid met de baas heeft, of gegevens doorspeelt aan concurrerende bedrijven. Een outsider bestaat uit een persoon die niet of niet meer verbonden is aan het bedrijf en handelt vanuit andere drijfveren. Dit onderzoek zal zich alleen richten op de outsider omdat volgens [GSEC], [KRAT] de insider een aantal voordelen heeft ten opzichte van de outsider: Hogere mate van vertrouwen Fysieke toegang tot netwerk bronnen Bescherming personeelsafdeling Doordat de insider deze voordelen bezit in vergelijking met de outsider is het onmogelijk om voor beide groepen eenzelfde oplossing voor het SE-vraagstuk te bieden. Het hele oplossingsmodel wordt namelijk gebaseerd op het inwinnen van informatie. De insider heeft reeds de beschikking over deze informatie en kan dus meteen zijn einddoel realiseren. In [KRAT] wordt een praktijkcase beschreven die laat zien hoe de insider te werk kan gaan. Een beveiligingspecialist bij het Nederlandse beveiligingsbedrijf BSM geeft aan dat: deze vorm van aanval (Social engineeraanval) altijd komt uit een min of meer bekende hoek. Hierdoor is bij de dader reeds vanaf het begin detail informatie zoals namen van personen en afdelingen en telefoonnummers bekend. Er wordt in dit onderzoek dus uitgegaan van de in [AUS] beschreven remote intrusion methode: Met remote intrusion probeert een aanvaller op afstand op een systeem in te breken doormiddel van een netwerk. In eerste instantie heeft de aanvaller geen rechten op het systeem, maar op een of andere manier slaagt hij erin om root acces te bemachtigen. Om root acces (3) te krijgen maakt de social engineer in dit onderzoek dus gebruikt van SE. Als de SE eenmaal root acces bezit, is zijn einddoel bereikt. Pagina 20 van 118

21 DPM Janssen 3.1 De social engineeringaanval Uit praktijk cases is gebleken dat er binnen elke SE-aanval een bepaalde structuur bestaat. Daarom is een SE-aanval opgesplitst in vier fasen. Het volgende figuur geeft de vier fasen weer: Fase 1 Globale informatie verkrijgen Fase 2 Specifieke informatie verkrijgen Fase 3 Toegang tot informatie systemen verkrijgen Hoeveelheid verkregen informatie Fase 4 Het einddoel realiseren Figuur 3: De fasen van een social engineeringaanval De social engineer zal wanneer hij denkt een bepaalde stap genoeg voorbereid te hebben overgaan tot die stap. De tijd die hiervoor uittrekt zal afhangen van het einddoel waar hij op uit is. Als de social engineer bijvoorbeeld uit is op productplannen van een product dat nog niet op de markt is en hij wil deze verkopen aan een concurrent dan is haast geboden. Hij moet de productplannen bemachtigen voordat het product op de markt komt zodat een concurrent hen voor kan zijn (door hetzelfde product eerder op de markt te brengen). Maar van de andere kant zijn er ook voorbeelden bekend waar tijd nauwelijks een rol speelt [IST], [MIT]. Als de social engineer als einddoel toegang krijgen tot een goed beveiligd systeem heeft wil de social engineer respect afdwingen binnen de hacker-gemeenschap door dit systeem binnen te dringen. Het maakt voor hem niet uit hoe lang hij erover doet als het einddoel maar bereikt wordt. Pagina 21 van 118

22 DPM Janssen Naarmate de stappen vorderen zal ook het aantal ingewonnen informatie toenemen. Hoe meer informatie de social engineer in zijn bezit heeft hoe groter de kans is om zijn einddoel te realiseren. Twee security consultants van KPMG en Madison Gurkha geven aan dat: Informatie is sleutel tot succes in combinatie overtuigingskracht en zelfvertrouwen. Het doel van de social engineer is informatie verzamelen om aansluitend geautomatiseerde aanvallen uit te voeren Hieruit blijkt nogmaals dat binnen een SE-aanval de informatie cruciaal is Fase 1 Globale informatie verkrijgen In deze fase is de social engineer op zoek naar algemene bedrijfsinformatie die makkelijk te verkrijgen is. De social engineer heeft als doel het doorgronden van de bedrijfsstructuur en het achterhalen van namen van het personeel en tevens het jargon leren kennen. De kennis van de interne processen is ook cruciaal voor de social engineer. Hij zoekt deze informatie zodat hij in de volgende fase weet wie hij moet benaderen (met als doel specifieke informatie bij die persoon vrij te krijgen) en welke namen hij kan gebruiken (zodat hij geloofwaardig overkomt)[dol]. De informatie die in deze fase ingewonnen wordt: Namen van medewerkers Functies van medewerkers Structuur van het bedrijf Nieuwe medewerkers Bedrijfsjargon Interne telefoonnummers adressen Fase 2 Specifieke informatie verkrijgen Nu de social engineer beschikt over algemene informatie gaat hij op zoek naar meer specifieke informatie. In deze fase legt hij contact met medewerkers van een bedrijf. Hij is nu bekend met het jargon, de medewerkers en hun positie, en zal daarom geloofwaardig overkomen. De social engineer is vooral op zoek naar inloggevens van medewerkers en namen van servers waar de informatiesystemen zich op bevinden. [DOL] De informatie die in deze fase ingewonnen wordt: Inlognamen Wachtwoorden Namen van servers Namen van applicaties (remote acces software, besturingssysteem, firewalls, informatiesystemen) Handleidingen van applicaties IP adressen Bedrijfsprocessen Medewerkers agenda Bedrijfslogo s Pagina 22 van 118

23 DPM Janssen IT infrastructuur Fase 3 Toegang tot informatie systemen verkrijgen De social engineer gaat in deze fase de daadwerkelijke toegang tot de informatiesystemen bewerkstelligen. Dit gebeurt in de meeste gevallen door gebruikt te maken van een inbelaccount (5) of door het fysiek benaderen van het netwerk. In beide gevallen worden technische beveiligingen zoals Firewalls (1) en Intrusion Detection Systemen (4) omzeild. De social engineer heeft in de vorige fase alle informatie verzameld om toegang te krijgen tot het netwerk van een bedrijf. Deze fase berust dus puur op het binnenkomen van de informatie systemen. Alle informatie die hiervoor benodigd is, is in de vorige 2 fasen verzameld Fase 4 Het einddoel realiseren Nu de social engineer toegang heeft tot informatie systemen kan hij de informatie die hij nodig heeft bekijken of eventueel wijzigen. Zijn einddoel zal altijd bestaan uit één of een combinatie van deze twee acties. Om de data te kunnen benaderen heeft de social engineer de juiste rechten nodig. Deze rechten heeft hij tot zijn beschikking omdat hij in fase 1 een profiel heeft gemaakt van de medewerkers met de juiste rechten en hij heeft daarvan de inloggevens tot zijn beschikking. De informatie die in deze fase ingewonnen wordt: Data uit informatie systemen Bedrijfsgeheimen (zoals broncode van een applicatie) 3.2 Social engineeringframework De methoden die de social engineer gebruikt zijn gedestilleerd uit de literatuur. Deze methoden worden beschreven aan de hand van een aantal variabelen. De volgende paragrafen beschreven deze variabelen. Het model dat gebruikt wordt om de SE-methoden te beschrijven wordt het SE-framework genoemd. In het framework zullen alle methodes beschreven worden aan de hand van een aantal algemene kenmerken. Deze kenmerken zullen bestaan uit: a. Op welke emotie wordt er ingespeeld b. Welke hulpmiddelen worden er gebruikt c. Wordt de methode fysiek/virtueel uitgevoerd d. Via welk medium loopt de communicatie e. Risico voor de social engineer f. Kosten voor de social engineer g. Aanval intern/extern uitgevoerd h. Doel (tussendoel, einddoel) i. Wordt gebruikt in welke fase j. Welke informatie wordt er ingewonnen k. Technisch/ Niet technisch De variabelen zijn gekozen, omdat deze allen voorkomen in de bestudeerde literatuur. Per variabele zal beschreven worden wat deze precies inhoudt en waarom juist deze variabele gebruikt wordt. De toegestane waarde van een variabele zal beschreven worden door middel van accolades. Bijvoorbeeld {angst, verlangen} de waarde kan in dit geval bestaan uit angst, verlangen of een combinatie hiervan. Pagina 23 van 118

24 DPM Janssen Op welke emotie wordt er ingespeeld Uit de literatuurstudie is gebleken dat een social engineer inspeelt op de emoties van een doelwit om hem zo te manipuleren. De emoties die hiervoor gebruikt worden zijn: -Angst; Bijvoorbeeld een nieuwe medewerker die door haar baas gebeld wordt met een verzoek iets voor hem te doen. De nieuwe medewerkers zal dit verzoek te allen tijde inwilligen uit angst voor het verkrijgen van een slechte naam. -Verlangens; Bijvoorbeeld een medewerker die wordt benaderd door iemand van een andere afdeling met een verzoek om iets voor hem te doen. Degene die contact opneemt belooft de medewerker dat hij een goed woordje bij zijn baas zal doen met de kans op promotie. -Behulpzaamheid; Bijvoorbeeld een medewerker die door een collega wordt gebeld met het verzoek iets voor hem op te zoeken in een bepaald systeem. Degene die contact opneemt legt uit dat hij een deadline moet halen en dat het nu even niet mogelijk is zelf in het systeem te komen. De medewerker zal behulpzaam zijn omdat hij handelt vanuit medelijden. Een security consultant van KPMG komt met de volgende praktijksituatie: Inspelen op behulpzaamheid voor het piggytailen (achter iemand aanlopen) door deuren. De SE heeft zijn handen vol en iemand anders maakt voor hem de deur open (2 handen vol, mensen herkennen dat en helpen). Nu is de SE binnen in een bedrijf zonder dat hij een pasje nodig heeft gehad. De emotie variabele is van groot belang omdat hieruit kan worden afgeleid welke medewerkers van een bedrijf het interessantste zijn voor een social engineer. De waarde van de variabele zal bestaan uit: {Angst, verlangen, behulpzaamheid} Welke hulpmiddelen worden er gebruikt Een social engineer maakt gebruik van verschillende hulpmiddelen om een social engineer aanval succesvol af te ronden. Per methode wordt aangegeven van welke hulpmiddelen de social engineer gebruik zal maken. Deze hulpmiddelen kunnen van zowel technische als niet technische aard zijn. Deze variabele is van belang omdat er zo vast gesteld wordt hoe een methode wordt toegepast. Dit is van groot belang om hier later in het onderzoek op terug gekomen wordt bij het zoeken van tegenmaatregelen voor de gebruikte methoden. De waarde van deze variabele zal bestaan uit: {een beschrijving van de gebruikte hulpmiddelen} Wordt de methode fysiek/virtueel uitgevoerd Een methode kan zowel fysiek, dus door bijvoorbeeld door een bedrijf te bezoeken en je voordoen als een monteur, als virtueel worden uitgevoerd. Onder een virtuele aanval verstaan we een aanval via het Internet of via de telefoon. De waarde van deze variabele zal bestaan uit: {Fysiek, virtueel} Pagina 24 van 118

25 DPM Janssen Via welk medium loopt de communicatie Een social engineer maakt veelvuldig gebruik van zijn sociale vaardigheden. Om deze optimaal te kunnen benutten zal hij een communicatiemedium gebruiken. Het is van belang te bekijken welke media er zoal gebruikt worden om hieruit de zwakheden van deze media af te leiden. De waarde van deze variabele zal bestaan uit: {een beschrijving van het gebruikte medium} Risico voor de social engineer Een bepaalde methode zal natuurlijk ook een bepaald risico (pakkans) voor de social engineer met zich meebrengen. Omdat de frequentie van het gebruik van een methode vermoedelijk in relatie staat met het risico is deze variabele interessant om te bekijken. De waarde van deze variabele zal bestaan uit: {laag, gemiddeld, hoog } Kosten voor de social engineer Een bepaalde methode zal natuurlijk ook bepaalde kosten voor de social engineer met zich meebrengen. Omdat de frequentie van het gebruik van een methode vermoedelijk in relatie staat met de kosten is deze variabele interessant om te bekijken. De waarde van deze variabele zal bestaan uit: {laag, gemiddeld, hoog } Aanval intern/extern uitgevoerd De social engineer kan een aanval intern uitvoeren. Een social engineer zal dan fysieke toegang tot het bedrijf moeten zien te krijgen om zo op het bedrijfsnetwerk in te kunnen loggen. De social engineer omzeilt hiermee beveiligingen zoals firewalls. De variabele is van belang omdat er zo vastgesteld kan worden welke beveiligingen er door de social engineer vermeden kunnen worden. De waarde van deze variabele zal bestaan uit: {interen, extern } Het doel van de aanval Het uiteindelijke doel van het framework is te komen tot een algemene structuur van een social engineeraanval. Om alle methoden in deze structuur onder te brengen is het nodig om te kijken naar het tussendoel (dus wat is het doel van deze methode). Het tussendoel kan bijvoorbeeld bestaan uit het verkrijgen van een inlognaam terwijl het uiteindelijke doel van de gehele aanval kan bestaan uit het toegang krijgen tot een informatiesysteem of een wijziging aanbrengen in een informatiesysteem. Om het einddoel te kunnen realiseren zullen er meerdere tussendoelen gerealiseerd moeten worden. De waarde van deze variabele zal bestaan uit: {beschrijving tussendoel } Wordt gebruikt in welke fase Voor het opstellen van het algemene aanvalsmodel is het ook van belang dat er gekeken wordt in welke fase de methode gebruikt wordt. Dit zal grotendeels de positie van de methode Pagina 25 van 118

26 DPM Janssen in het algemene aanvalsmodel bepalen. Zoal eerder beschreven is, bestaat een social engineerpoging uit een viertal fasen. De waarde van deze variabele zal bestaan uit: {fase } Welke informatie wordt er ingewonnen Bij een SE-aanval draait alles om informatie. De SE zal dan ook stukje bij beetje informatie verzamelen. Om te komen tot een algemene structuur van een SE-aanval zal er gekeken worden naar welke informatie wanneer beschikbaar komt. Het is dus belangrijk om te kijken welke informatie cruciaal is. De waarde van deze variabele zal bestaan uit: {beschrijving van informatie } Technisch / niet Technisch Bij een SE-aanval zullen veelal sociale vaardigheden van de social engineer gebruikt worden. Binnen een SE-aanval kan echter ook gebruik gemaakt worden van technische hulpmiddelen zoals een stukje software. Het is van belang te kijken of een bepaalde methode gebruik maakt van deze hulpmiddelen om zo te komen tot efficiënte tegenmaatregelen. De waarde van deze variabele zal bestaan uit: {technisch, niet technisch } 3.3 De verschillende methoden van social engineering Alle variabelen die beschreven zijn in 3.2 worden nu toegepast op de methoden die gedistilleerd zijn uit de bestudeerde literatuur. De literatuurverwijzingen zijn toegevoegd bij de beschrijving van de methode. Pagina 26 van 118

27 DPM Janssen Methode 1 Afval doorzoeken De social engineer doorzoekt het afval van een bedrijf om zo algemene en specifieke informatie van het bedrijf te achterhalen. De SE is op zoek naar - Kalenders (vergaderingen, activiteiten, vakanties) - Systeem handleidingen - Technische data - Hardware: harddisk, diskettes en tapes - Telefoongidsen - Organogrammen - Memo s - Bedrijfspolicies - Systeem handleidingen - Printjes van broncodes - Bedrijfslogo s - Standaard brieven - Netwerk structuren [GRAN], [EVER], [ALL], [MIT2], [CYB] Voorbeelden De SE maakt afspraken met de ophalers van het afval van een bedrijf en tegen betaling ontvangt hij de vuilnis. In de vuilnis vindt hij een organogram van het bedrijf met daarin alle namen en posities van medewerkers binnen het bedrijf. Als de SE het bedrijf gaat bellen met een verzoek kan hij zich voordoen als een collega met een opdracht van zijn baas. In de vuilnis vindt de SE tevens een overzicht van de netwerkstructuur van het bedrijf. Nu weet de SE wat hij allemaal moet doen om binnen te komen. Een security consultant van het beveiligingsbedrijf EDP audit pool kwam met de volgende praktijksituatie: Tijdens het afval doorzoeken vond ik NAW gegevens van klanten en medewerkers van een groot telecom bedrijf. Deze info was bruikbaar geweest voor SE. a. Op welke emotie wordt er ingespeeld In deze fase wordt niet ingespeeld op een emotie, het betreft afval en geen mensen. b. Wordt de methode fysiek/virtueel uitgevoerd Deze methode wordt fysiek uitgevoerd. De SE gaat namelijk zelf in het afval kijken of laat dit door iemand anders doen. c. Welke hulpmiddelen worden er gebruikt Er worden geen hulpmiddelen gebruikt. d. Via welk medium loopt de communicatie Communicatie is in deze niet nodig. e. Risico voor de social engineer Het risico is laag, omdat vuilnis een openbaar goed is en het is dus niet strafbaar om iemands vuilnis te stelen. Verder worden er trucs gebruikt zoals, ik was even wat oude dozen aan het verzamelen, ik ben namelijk aan het verhuizen. f. Kosten voor de social engineer Kosten zijn laag. De vuilnis ligt in de meeste gevallen voor het oprapen. Soms wordt er echter ook geld geboden voor de vuilnis (aan de schoonmakers bijvoorbeeld) maar dan zijn de opbrengsten van de uiteindelijke SE-aanval meestal hoog. Pagina 27 van 118

28 DPM Janssen g. Aanval intern/extern uitgevoerd De aanval kan zowel intern als extern worden uitgevoerd. Het ligt er namelijk aan waar de vuilnis zich bevindt. h. Doel Verkrijgen van zoveel mogelijk informatie over het bedrijf, toegang krijgen tot een informatiesysteem. i. Wordt gebruikt in welke fase Fase j. Welke informatie wordt er ingewonnen - Medewerkers agenda - Handleidingen van applicaties - IT infrastructuur - Data uit informatiesystemen (backup s) - Interne telefoonnummers - Namen van medewerkers - Functies van medewerkers - Inlognamen - Wachtwoorden - Bedrijfsjargon - Broncode van applicaties - Bedrijfslogo s - Namen van servers - Bedrijfsprocessen k. Technisch / Niet technisch Niet technisch; er worden geen technische hulpmiddelen gebruikt Methode 2 Nep websites Het gebruiken van nep websites. Een medewerker denkt dat het gaat om een vertrouwelijke website en vult vervolgens zijn gebruikersnaam en wachtwoord in op de website. Deze gegevens worden vervolgens naar de SE gestuurd. [GOR], [GRAN], [EVER], [BAR], [ALL], [MIT2] Voorbeelden Een medewerker krijgt een met een link naar een website met een enquête van de interne helpdesk. Omdat de website allerlei bedrijfsjargon omvat wekt dit bij de medewerker geen argwaan. Hij vult de vragen van de enquête in en ter afsluiting worden zijn loginnaam en wachtwoord gevraagd. Vervolgens worden deze gegevens doorgestuurd naar de SE. Een medewerker krijgt een met een link naar een website waar hij zijn loginnaam en wachtwoord moet invullen. In de staat uitgelegd dat alle accounts van de medewerkers gecontroleerd moeten worden en als de medewerker niet meewerkt het account misschien niet meer zal werken in de toekomst. a. Op welke emotie wordt er ingespeeld Behulpzaamheid, angst b. Wordt de methode fysiek/virtueel uitgevoerd Virtueel c. Welke hulpmiddelen worden er gebruikt , Trojan horse (11) Pagina 28 van 118

29 DPM Janssen d. Via welk medium loopt de communicatie e. Risico voor de social engineer Laag, de SE gebruikt een adres dat niet te traceren is en plaatst de website op een publieke server (10) f. Kosten voor de social engineer Laag, de SE maakt gebruik van gratis accounts g. Aanval intern/extern uitgevoerd Extern h. Doel Het verkrijgen van gebruikersnaam en/of wachtwoord i. Wordt gebruikt in welke fase Fase 2 j. Welke informatie wordt er ingewonnen Inlognamen Wachtwoorden k. Technisch / Niet technisch Technisch; om de websites te maken is een stukje techniek nodig Methode 3 Trojan horses/virussen (11) De SE zorgt ervoor dat een medewerker van een bedrijf een Trojan horse of virus installeert op zijn computer. In de meeste gevallen gebeurt dit door een te sturen met een bijlage (in de vorm van een Trojan horse / virus) maar een SE kan zich ook voordoen als een software leverancier die vervolgens aangeeft dat de medewerker een patch (9) moet installeren (met een Trojan horse / virus) erin. Een security consultant van het beveiligingsbedrijf EDP audit pool kwam met de volgende praktijksituatie: Ik heb geprobeerd een lieve dierenfoto s screensaver samen te stellen en dan naar onze secretaresses te sturen. Het bleek echter dat de secretaresses moeite hadden de screensaver te installeren. Ben niet meer doorgegaan met inbouwen van Trojan in de screensaver. Het Trojan horse / virus kan voor de volgende doeleinden gebruikt worden: -Installeren van keyloggers (7) -Installeren van een backdoor(8) -Stelen van wachtwoorden -Bestanden verwijderen -Systeem instellingen veranderen [GOR], [EVER], [BAR], [ALL], [DOL], [MIT2] Voorbeelden De SE belt een medewerker op en doet zich voor als iemand van de IT helpdesk. Hij zegt dat de medewerker een patch moet installeren omdat er een fout in de software zit. Vervolgens installeert de medewerker de patch, die in feite een Trojan horse bevat. De Trojan horse opent een backdoor die de SE toegang biedt tot de computer van de medewerker. De SE gaat een bedrijf binnen en legt een diskette met een patch op het bureau van een medewerker (die niet aanwezig is). Vervolgens installeert de medewerker de patch (in feite een Trojan horse). Pagina 29 van 118

30 DPM Janssen a. Op welke emotie wordt er ingespeeld Angst b. Wordt de methode fysiek/virtueel uitgevoerd Virtueel en/of fysiek c. Welke hulpmiddelen worden er gebruikt Trojan horses / virussen d. Via welk medium loopt de communicatie , telefoon e. Risico voor de social engineer Gemiddeld, medewerker kan argwaan krijgen omdat de site of waar de SE naar verwijst niet intern is. g. Kosten voor de social engineer Laag, SE maakt gebruik van gratis account en heeft alleen eventueel telefoonkosten f. Aanval intern/extern uitgevoerd Extern en/of intern h. Doel Het verkrijgen van gebruikersnaam en/of wachtwoord, het verkrijgen van toegang tot het netwerk van een bedrijf i. Wordt gebruikt in welke fase Fase 2 j. Welke informatie wordt er ingewonnen Inlognamen Wachtwoorden k. Technisch / Niet technisch Technisch; om de Trojan horses/virussen te maken is een stukje techniek nodig Methode 4 Identiteit verwisseling: de software fabrikant De SE doet zich voor als iemand anders. De truc is om van iedere bron een klein beetje informatie vrij te krijgen om zo argwaan te voorkomen. De SE doet zich voor als softwarefabrikant. [ALL], [SANS], [MIT2] Voorbeelden De SE belt een medewerker op en doet zich voor als iemand van de IT helpdesk van de software fabrikant. Hij zegt dat de medewerker een patch moet installeren omdat er een fout in de software zit. Vervolgens installeert de medewerker de patch, die in feite een Trojan horse bevat. De Trojan horse opent een backdoor die de SE toegang biedt tot de computer van de medewerker. a. Op welke emotie wordt er ingespeeld Angst b. Wordt de methode fysiek/virtueel uitgevoerd Virtueel c. Welke hulpmiddelen worden er gebruikt Trojan horses d. Via welk medium loopt de communicatie Telefoon, e. Risico voor de social engineer Middel, de SE moet geen argwaan opwekken en gebruik maken van bedrijfsjargon Pagina 30 van 118

31 DPM Janssen f. Kosten voor de social engineer Laag, alleen belkosten g. Aanval intern/extern uitgevoerd Extern h. Doel Bemachtigen van inlog gegevens, creëren van een backdoor, verandering aanbrengen in een besturingssysteem. i. Wordt gebruikt in welke fase Fase 2 j. Welke informatie wordt er ingewonnen Inlognamen Wachtwoorden Namen van servers Namen van applicaties IP adressen k. Technisch / Niet technisch Niet technisch; er worden sociale vaardigheden gebruikt Methode 5 Identiteit verwisseling: de helpdesk medewerker De SE doet zich voor als iemand anders. De truc is om van iedere bron een klein beetje informatie vrij te krijgen om zo argwaan te voorkomen. De SE doet zich voor als helpdesk medewerker. [GRAN], [BAR], [ALL], [SANS], [DOL], [NOR], [MIT2] Voorbeelden De SE belt een medewerker op en doet zich voor als iemand van de IT helpdesk. Hij zegt dat de medewerker een patch moet installeren omdat er een fout in de software zit. Vervolgens installeert de medewerker de patch, die in feite een Trojan horse bevat. De Trojan horse opent een backdoor die de SE toegang biedt tot de computer van de medewerker. De SE belt een medewerker op en vraagt hem om zijn inloggegevens. a. Op welke emotie wordt er ingespeeld Angst, behulpzaamheid b. Wordt de methode fysiek/virtueel uitgevoerd Virtueel c. Welke hulpmiddelen worden er gebruikt Trojan horses d. Via welk medium loopt de communicatie Telefoon, e. Risico voor de social engineer Middel, de SE moet geen argwaan opwekken en gebruik maken van bedrijfsjargon f. Kosten voor de social engineer Laag, alleen belkosten g. Aanval intern/extern uitgevoerd Extern h. Doel Bemachtigen van inloggegevens, creëren van een backdoor, verandering aanbrengen in een besturingssysteem. Pagina 31 van 118

32 DPM Janssen i. Wordt gebruikt in welke fase Fase 2 j. Welke informatie wordt er ingewonnen Inlognamen Wachtwoorden Namen van servers Namen van applicaties IP adressen k. Technisch / Niet technisch Niet technisch; er worden sociale vaardigheden gebruikt Methode 6 Identiteit verwisseling: de persoon met autoriteit De SE doet zich voor al iemand anders. De truc is om van iedere bron een klein beetje informatie vrij te krijgen om zo argwaan te voorkomen. De SE doet zich voor als manager (persoon met autoriteit) [GRAN], [EVER], [BAR], [ALL], [SANS], [MIT2] Voorbeelden De SE belt op en doet zicht voor als manager, hij vraagt de medewerker om een gunst. a. Op welke emotie wordt er ingespeeld Angst, behulpzaamheid b. Wordt de methode fysiek/virtueel uitgevoerd Virtueel c. Welke hulpmiddelen worden er gebruikt Geen d. Via welk medium loopt de communicatie Telefoon e. Risico voor de social engineer Middel, de SE moet geen argwaan opwekken en gebruik maken van bedrijfsjargon f. Kosten voor de social engineer Laag, alleen belkosten g. Aanval intern/extern uitgevoerd Extern h. Doel Bemachtigen van inlog gegevens, creëren van een backdoor, verandering aanbrengen in een besturingssysteem. i. Wordt gebruikt in welke fase Fase 2 j. Welke informatie wordt er ingewonnen Inlognamen Wachtwoorden Namen van servers Namen van applicaties (remote acces applicaties) k. Technisch / Niet technisch Niet technisch; er worden sociale vaardigheden gebruikt. Pagina 32 van 118

33 DPM Janssen Methode 7 Identiteit verwisseling: de collega De SE doet zich voor al iemand anders. De truc is om van iedere bron een klein beetje informatie vrij te krijgen om zo argwaan te voorkomen. De SE doet zich voor als collega [SANS], [MIT2] Voorbeelden De SE belt op en doet zich voor als collega. Hij zegt dat zijn computer kapot is en vraag de collega of hij even iets wil opzoeken in het systeem. a. Op welke emotie wordt er ingespeeld Behulpzaamheid b. Wordt de methode fysiek/virtueel uitgevoerd Virtueel c. Welke hulpmiddelen worden er gebruikt Geen d. Via welk medium loopt de communicatie Telefoon e. Risico voor de social engineer Middel, de SE moet geen argwaan opwekken en gebruik maken van bedrijfsjargon f. Kosten voor de social engineer Laag, alleen belkosten g. Aanval intern/extern uitgevoerd extern h. Doel Het verkrijgen van data uit een informatiesysteem i. Wordt gebruikt in welke fase Fase j. Welke informatie wordt er ingewonnen Namen van medewerkers Functies van medewerkers Structuur van het bedrijf Nieuwe medewerkers Bedrijfsjargon Interne telefoonnummers adressen Namen van servers Namen van applicaties (remote acces software, besturingsysteem, firewalls, informatiesystemen) Handleidingen van applicaties IP adressen Bedrijfsprocessen Medewerkers agenda Bedrijfslogo s IT infrastructuur Data uit informatiesystemen k. Technisch / Niet technisch Niet technisch; er worden sociale vaardigheden gebruikt. Pagina 33 van 118

34 DPM Janssen Methode 8 Omgekeerde Social Engineering Een bron in zo n positie krijgen dat hij denkt hulp nodig te hebben van de social engineer die zich voordoet als iemand anders. Dit gebeurt in meerdere stappen. -Sabotage; sabotage van een netwerk of programma zodat er een probleem ontstaat -Adverteren; the social engineer prijst zich aan als de persoon die het probleem kan oplossen -Assisteren; the social engineer verhelpt het probleem en probeert daarbij gegevens van de gebruiker los te krijgen Het probleem wordt opgelost en het slachtoffer zal zich er niet van bewust zijn dat hij/zij is aangevallen door een social engineer. [GRAN], [ALL], [DOL], [MIT2] Voorbeelden De SE saboteert een programma zodat dit niet meer werkt (dit kan met behulp van methode 5). De SE belt de medewerker op en zegt hem dat hij geconstateerd heeft dat de medewerker problemen met een bepaalde applicatie ondervindt. De SE verzoekt de medewerker hem terug te bellen. De SE vraagt de medewerker om zijn login gegevens en verhelpt vervolgens het probleem. a. Op welke emotie wordt er ingespeeld Angst b. Wordt de methode fysiek/virtueel uitgevoerd Virtueel c. Welke hulpmiddelen worden er gebruikt Torjan horse d. Via welk medium loopt de communicatie , telefoon e. Risico voor de social engineer Laag, de medewerker heeft iets nodig van de SE, zodat hij niet zo snel argwaan zal krijgen. f. Kosten voor de social engineer Laag, alleen belkosten g. Aanval intern/extern uitgevoerd extern h. Doel Bemachtigen van inlog gegevens, creëren van een backdoor, verandering aanbrengen in een besturingssysteem. i. Wordt gebruikt in welke fase Fase 2 j. Welke informatie wordt er ingewonnen Inlognamen Wachtwoorden k. Technisch / Niet technisch Beiden; tijdens de sabotage worden er technische hulpmiddelen gebruikt in de andere twee fasen worden er sociale vaardigheden gebruikt Pagina 34 van 118

35 DPM Janssen Methode 9 Phreaking Het telefoonnetwerk kraken zodat iemand via het bedrijf kan bellen. Vooral handig voor intern te bellen. [GRAN], [EVER], [SLA], [CYB] Voorbeelden De SE weet binnen te dringen in een telefooncentrale. Als een medewerker van een bedrijf de helpdesk belt wordt dit nummer automatisch doorgeschakeld naar de SE. De SE kan zich voordoen als een helpdesk medewerker zo lijkt het alsof de SE belt met een intern nummer. De SE belt via een intern nummer een collega. Deze collega heeft nummerweergave en ziet dat de SE intern belt. Hierdoor denk de medewerker dat hij te maken heeft met een collega. a. Op welke emotie wordt er ingespeeld Geen b. Wordt de methode fysiek/virtueel uitgevoerd Virtueel c. Welke hulpmiddelen worden er gebruikt Geen d. Via welk medium loopt de communicatie Telefoon e. Risico voor de social engineer Laag, de social engineer belt via een vertrouwd nummer f. Kosten voor de social engineer Laag, belkosten komen op rekening van de telefooncentrale g. Aanval intern/extern uitgevoerd Extern h. Doel Het krijgen van vertrouwen door te bellen met een bekend nummer, gratis bellen, ontraceerbaar terugbel nummer i. Wordt gebruikt in welke fase Fase j. Welke informatie wordt er ingewonnen Interne telefoonnummers k. Technisch / Niet technisch Technisch; om in te kunnen breken in de telefooncentrale is veel technische kennis verreist Methode 10 Directe toenadering Persoon vragen om zijn inloggegevens [EVER], [ALL], [DOL], [MIT2] Voorbeelden De SE belt een persoon op en doet zich voor als iemand uit methode 4, 5, 6, en 7. Vervolgens vraagt hij de inloggevens. a. Op welke emotie wordt er ingespeeld Behulpzaamheid. b. Wordt de methode fysiek/virtueel uitgevoerd Virtueel c. Welke hulpmiddelen worden er gebruikt Pagina 35 van 118

36 DPM Janssen Geen d. Via welk medium loopt de communicatie telefoon e. Risico voor de social engineer Middel, de SE moet geen argwaan opwekken en gebruik maken van bedrijfsjargon f. Kosten voor de social engineer Laag, alleen belkosten g. Aanval intern/extern uitgevoerd Extern h. Doel Inloggegeven achterhalen i. Wordt gebruikt in welke fase Fase 2 j. Welke informatie wordt er ingewonnen Inlognamen Wachtwoorden k. Technisch / Niet technisch Niet technisch; er worden sociale vaardigheden gebruikt Methode 11 Spionage Over de schouder meekijken, loginnaam op scherm aflezen. [GRAN], [EVER], [MIT2] Voorbeelden Een SE doet zich voor als schoonmaker en kijkt mee als een medewerker gaat inloggen a. Op welke emotie wordt er ingespeeld Geen b. Wordt de methode fysiek/virtueel uitgevoerd Fysiek c. Welke hulpmiddelen worden er gebruikt Vermomming d. Via welk medium loopt de communicatie geen e. Risico voor de social engineer Hoog, SE is geen bekende dat wekt argwaan op f. Kosten voor de social engineer Middel, de SE moet een vermomming aanschaffen g. Aanval intern/extern uitgevoerd intern h. Doel (tussendoel, einddoel) Verkrijgen van gebruikersnaam en/of wachtwoord i. Wordt gebruikt in welke fase Fase 2 j. Welke informatie wordt er ingewonnen Inlognamen Wachtwoorden k. Technisch / Niet technisch Niet technisch; er worden alleen geobserveerd. Pagina 36 van 118

37 DPM Janssen Methode 12 Gedragspatroon analyse Een bezoeker die gedragspatronen van medewerkers bekijkt [BAR], [DOL] Voorbeelden Een bezoeker volgt een medewerker en kijkt wanneer hij/zij pauze neemt. De SE weet nu wanneer de medewerker afwezig is en kan zich voordoen als deze persoon. a. Op welke emotie wordt er ingespeeld Geen b. Wordt de methode fysiek/virtueel uitgevoerd Fysiek c. Welke hulpmiddelen worden er gebruikt Eventueel valse badge om toegang te krijgen d. Via welk medium loopt de communicatie Geen e. Risico voor de social engineer Hoog, SE is geen bekende dat wekt argwaan op f. Kosten voor de social engineer Middel, de SE moet eventueel een badge aanschaffen g. Aanval intern/extern uitgevoerd intern h. Doel Zich kunnen voordoen als een medewerker i. Wordt gebruikt in welke fase Fase 2 j. Welke informatie wordt er ingewonnen Medewerkers agenda k. Technisch / Niet technisch Niet technisch; er worden alleen een analyse van social aspecten uitgevoerd Methode 13 De goede vriend Iemand in naaste omgeving die zich voordoet als een vriend maar in feite de social engineer is, die uit is op informatie. [EVER], [MIT2] Voorbeelden Een SE is de buurman van een medewerker en gaat met hem sporten. Door het stellen van vragen achterhaalt de SE allerlei bedrijfsinformatie a. Op welke emotie wordt er ingespeeld Behulpzaamheid b. Wordt de methode fysiek/virtueel uitgevoerd Fysiek c. Welke hulpmiddelen worden er gebruikt Communicatieve vaardigheden d. Via welk medium loopt de communicatie Face to face e. Risico voor de social engineer Pagina 37 van 118

38 DPM Janssen Laag, de vriend ziet hem niet als een bedreiging f. Kosten voor de social engineer Laag g. Aanval intern/extern uitgevoerd Extern h. Doel Verkrijgen van bedrijfsinformatie i. Wordt gebruikt in welke fase Fase j. Welke informatie wordt er ingewonnen Namen van medewerkers Functies van medewerkers Structuur van het bedrijf Nieuwe medewerkers Bedrijfsjargon Namen van applicaties (remote acces software, besturingsysteem, firewalls, informatiesystemen) Bedrijfsprocessen IT infrastructuur k. Technisch / Niet technisch Niet technisch; er worden sociale vaardigheden gebruikt Methode 14 Profilering Identificeer en lokaliseer potentiële doelwitten (creëren van een profiel), de SE gaat op zoek naar slachtoffers, die makkelijk te misleiden zijn. [IST], [MIT2] Voorbeelden De SE belt de Human Resource afdeling met de vraag naar een lijst met nieuwe medewerkers Een security consultant van het beveiligingsbedrijf EDP audit pool kwam met de volgende praktijksituatie: Verzamelen van info over organisatie gaat altijd vooraf aan een penetratietest. Via is erg veel info te verzamelen, vooral namen en adressen. a. Op welke emotie wordt er ingespeeld Geen b. Wordt de methode fysiek/virtueel uitgevoerd Virtueel c. Welke hulpmiddelen worden er gebruikt Communicatieve vaardigheden d. Via welk medium loopt de communicatie Telefoon, , fax e. Risico voor de social engineer Middel, de SE moet geen argwaan opwekken en gebruik maken van bedrijfsjargon f. Kosten voor de social engineer Laag, alleen belkosten g. Aanval intern/extern uitgevoerd Extern Pagina 38 van 118

39 DPM Janssen h. Doel Het zoeken naar doelwitten i. Wordt gebruikt in welke fase Fase 1 j. Welke informatie wordt er ingewonnen Namen van medewerkers Functies van medewerkers Structuur van het bedrijf Nieuwe medewerkers Interne telefoonnummers adressen k. Technisch / Niet technisch Niet technisch; er wordt een analyse gemaakt Methode 15 Fysieke verkenning Het gebouw binnen lopen en kijken wat er allemaal voor handen is [GRAN], [DOL], [MIT2], [CYB] Voorbeelden Een SE loopt het gebouw binnen en ziet er een organogram hangen. Als gevolg hiervan weet hij nu hoe de interne structuur van het bedrijf in elkaar eruit ziet. a. Op welke emotie wordt er ingespeeld geen b. Wordt de methode fysiek/virtueel uitgevoerd Fysiek c. Welke hulpmiddelen worden er gebruikt Geen d. Via welk medium loopt de communicatie geen e. Risico voor de social engineer Laag, SE doet zich voor als bezoeker f. Kosten voor de social engineer Laag g. Aanval intern/extern uitgevoerd Intern h. Doel Verkrijgen van algemene informatie i. Wordt gebruikt in welke fase Fase 1 j. Welke informatie wordt er ingewonnen Namen van medewerkers Functies van medewerkers Structuur van het bedrijf Bedrijfsjargon Bedrijfsprocessen Bedrijfslogo s k. Technisch / Niet technisch Niet technisch; er worden sociale vaardigheden gebruikt Pagina 39 van 118

40 DPM Janssen Methode 16 Fysieke aanval Het gebouw binnen lopen en inloggen op het netwerk [GRAN], [DOL], [MIT2], [CYB] Voorbeelden De SE doet net of hij een zakenman is die een afspraak heeft en vraagt of hij even zijn mag controleren. Een security consultant van het beveiligingsbedrijf EDP audit pool kwam met de volgende praktijksituatie: Bij receptie binnenkomen met een (smeltende) ijstaart voor een zogenaamde collega. a. Op welke emotie wordt er ingespeeld Behulpzaamheid b. Wordt de methode fysiek/virtueel uitgevoerd Fysiek c. Welke hulpmiddelen worden er gebruikt Laptop, scan software d. Via welk medium loopt de communicatie Face to face e. Risico voor de social engineer Middel, de SE moet geen argwaan opwekken en gebruik maken van bekende medewerkers namen f. Kosten voor de social engineer Hoog, de SE heeft een laptop een chique kleding nodig. g. Aanval intern/extern uitgevoerd Intern h. Doel (tussendoel, einddoel) Inloggen op het netwerk en toegang krijgen tot informatie i. Wordt gebruikt in welke fase Fase j. Welke informatie wordt er ingewonnen Namen van medewerkers Functies van medewerkers Structuur van het bedrijf Nieuwe medewerkers Bedrijfsjargon Interne telefoonnummers adressen Namen van servers Namen van applicaties (remote acces software, besturingsysteem, firewalls, informatiesystemen) Handleidingen van applicaties IP adressen Bedrijfsprocessen Medewerkers agenda Bedrijfslogo s IT infrastructuur Pagina 40 van 118

41 DPM Janssen Data uit informatiesystemen k. Technisch / Niet technisch Beidem; voor het binnenkomen worden sociale vaardigheden gebruikt. Om daadwerkelijk in te loggen op het netwerk worden technische vaardigheden gebruikt. 3.4 Methoden in relatie met fasen en informatie-eenheden Zoals gebleken is in de nadere analyse van de SE-methoden, kunnen de methoden gebruikt worden in een (aantal) fase(n). Social engineeringmethoden Methode 1 Afval doorzoeken Methode 2 Nep websites Methode 3 Trojan horses / Virussen Methode 4 Identiteit verwisseling: de software fabrikant Methode 5 Identiteit verwisseling: de helpdesk medewerker Methode 6 Identiteit verwisseling: de persoon met autoriteit Methode 7 Identiteit verwisseling: de collega Methode 8 Omgekeerde Social Engineering Methode 9 Phreaking Methode 10 Directe toenadering Methode 11 Spionage Methode 12 Gedragspatroon analyse Methode 13 De goede vriend Methode 14 Profilering Methode 15 Fysieke verkenning Methode 16 Fysieke aanval Tabel 1: Relatie tussen methoden en fasen Fasen Omdat elke methode als einddoel het inwinnen van informatie heeft, wordt er per methode vastgelegd welke informatie er wordt ingewonnen. De volgende informatie wordt onderscheiden: a. Namen van medewerkers b. Functies van medewerkers c. Structuur van het bedrijf d. Nieuwe medewerkers e. Bedrijfsjargon f. Interne telefoonnummers g. adressen Pagina 41 van 118

42 DPM Janssen Informatie eenheden h. Inlognamen i. Wachtwoorden j. Namen van servers k. Namen van applicaties (remote acces software, besturingssysteem, firewalls, informatiesystemen) l. Handleidingen van applicaties m. IP adressen n. Bedrijfsprocessen o. Medewerkers agenda p. Bedrijfslogo s q. IT infrastructuur r. Data uit informatiesystemen s. Bedrijfsgeheimen (zoals broncode van een applicatie) a Namen van medewerkers b Functies van medewerkers c Structuur van het bedrijf d Nieuwe medewerkers e Bedrijfsjargon f Interne telefoonnummers g adressen h Inlognamen i Wachtwoorden j Namen van servers k Namen van applicaties l Handleidingen van appl m IP adressen n Bedrijfsprocessen o Medewerkers agenda p Bedrijfslogo s q IT infrastructuur r Data uit informatiesysteem s Bedrijfsgeheimen Tabel 2: Relatie tussen methoden en informatie Social engineeringmethoden Pagina 42 van 118

43 DPM Janssen 3.5 Conclusies Framework De variabelen zijn in paragraaf 3.3 toegepast op de verschillende methoden. Hieruit zijn een aantal conclusies af te leiden. Emotie De SE maakt veelvuldig gebruik van de menselijke aspecten zoals emoties. De emoties van mensen zijn niet uit te schakelen en daarom maakt de SE veelvuldig gebruik van deze zwakte (ten opzichte van een computer is in dit opzicht emotie een zwakte omdat het nadelen biedt) van de mens. Zodra een aanvalsmethode enig contact, in welke vorm dan ook, met mensen omvat, zal er altijd op een of andere manier ingespeeld worden op de emotie van de mens. Fysieke aanval De SE zal zo min mogelijk gebruik maken van fysieke methoden. Dit heeft als reden dat een fysieke aanval een veel groter risico (pakkans) voor de SE met zich meebrengt dan virtuele methoden. Er zijn echter gevallen dat fysieke methoden wel gebruik moeten worden zoals bij afval doorzoeken. Als een SE echter een fysieke aanval uitvoert, zal hij een B-plan klaar hebben liggen zodra hij betrapt wordt. Hulpmiddelen Hulpmiddelen bestaan in alle gevallen uit stukjes software zoals Trojan horses, virussen, en uit vermommingen bij een fysieke aanval. Het is van belang deze stukjes software te onderkennen om zo in te spelen op de werking ervan. Medium De SE maakt meestal gebruikt van media als en telefoon. Dit heeft als reden dat de pakkans hiermee klein is. De SE zorgt er voor dat hij niet traceerbaar is. (Hij belt bijvoorbeeld vanuit een telefooncel). Het gebruik van de telefoon is het favoriete medium van de SE, omdat hij zo de mens kan bespelen met zijn communicatieve vaardigheden. Er is geen fysiek contact, zodat de SE zich kan voordoen als iemand anders en het vertrouwen van het slachtoffer kan winnen. Risico s De SE zal meestal de methode kiezen die voor hem het minste risico met zich meebrengt. De mate van het nemen van risico s hangt natuurlijk ook af van de uiteindelijke opbrengst van een social engineeraanval. Hoe groter de opbrengst des te meer risico de SE zal nemen. Omdat bij wet is vast gelegd dat sommige methoden van SE strafbaar zijn zal de SE uit kijken met het nemen van risico s. Kosten De kosten zal de SE zo laag mogelijk willen houden. Net als bij de risico s geldt bij de kosten ook, hoe groter de opbrengst des te meer kosten de SE zal willen maken. Vaak bestaan de kosten uit telefoonkosten, maar door middel van phreaking (methode 9) breekt de SE in op een telefooncentrale en kan vervolgens gratis bellen. In het bedrijfsleven wordt tijd ook altijd aan kosten gerelateerd. Hoe meer tijd, dus resources, er gebruikt wordt des te hoger de kosten. Dit principe geldt voor de SE niet. Bij de SE wordt tijd niet uitgedrukt in geld omdat hij niet per tijdseenheid betaald krijgt maar voor het resultaat dat hij bereikt (mits dit resultaat bestaat uit een waardevolle informatie en/of diensten). Het afhankelijk van het soort einddoel of de social engineer een tijdslimiet heeft (zie paragraaf 3.1). Pagina 43 van 118

44 DPM Janssen Interne aanval Er zijn een aantal methode waarbij de SE intern te werk gaat. Deze methoden brengen, net als bij een fysieke aanval, een groter risico (pakkans) met zich mee. Interne aanvallen brengen echter een groot voordeel voor de SE met zich mee. De SE kan namelijk direct op het netwerk, zodat er allerlei technische beveiligingen omzeild kunnen worden, door van binnen uit te opereren. Een interne aanval is niet het zelfde als een fysieke aanval, omdat bij een fysieke aanval het contact ook buiten het bedrijf kan plaatsvinden. Doelen De doelen kunnen zeer verschillend zijn maar leiden allemaal tot een gezamenlijk einddoel. De doelen bestaan uit het verkrijgen van stukjes informatie die uiteindelijk leiden tot het bereiken van het einddoel. In het volgende hoofdstuk zal er een koppeling gelegd worden tussen de doelen en de verschillende fasen. Het is namelijk zo dat elke fase ook een (tussen)doel heeft en elke methode een doel om dat (tussen)doel te bereiken Fase 1 Doel: Globale informatie verkrijgen Doel van methode 1,7,9,13,14,15,16 Fase 2 Doel: Specifieke informatie verkrijgen Doel van methode 1 t/m 13, 16 Fase 3 Doel: Toegang tot informatie systemen verkrijgen Fase 4 Doel: Het einddoel realiseren Doel van methode 1,7,16 Figuur 4: Methoden doelen versus fasen doelen Zoals in de figuur duidelijk wordt heeft elke methode een eigen doel, als je deze doelen combineert leidt dit tot een tussendoel van een fase. Bijvoorbeeld: Als er een combinatie van de doelen van de methoden 1,7,9,13,14,15,16 gerealiseerd is, zal het tussendoel van Fase 1 bereikt zijn. Het doel van fase 1 is globale informatie te verkrijgen. De mate waarin de doelen van de methoden 1,7,9,13,14,15,16 behaald zijn bepaald de mate waarin het tussendoel van Fase 1 gerealiseerd is. Fasen De verschillende methode kunnen ingezet worden in de verschillende fasen. De relatie wordt al gelegd in tabel 1. Opvallend is dat naarmate de fasen vorderen er minder methoden worden Pagina 44 van 118

45 DPM Janssen toegepast. Hiermee is duidelijk geworden dat het zwaartepunt voor de social engineer ligt op fase 1 en 2. Zodra deze fasen goed zijn doorlopen is de rest een kwestie van het gebruiken van de ingewonnen informatie. Tijdens fase 3 en 4 worden niet zozeer SE-methoden toegepast, maar technische gerelateerde acties uitgevoerd zoals het verkrijgen van een connectie met het netwerk van een bedrijf. Informatie Bij een SE-aanval draait alles om het krijgen van informatie. Het doel van elke methode is in bijna elk geval het krijgen van een stukje informatie. De informatie kan gezien worden als de sleutel tot succes. De puzzelstukjes is figuur 4 zouden ook vervangen kunnen worden door stukjes informatie, elk doel leidt immers tot een stukje informatie. En omgekeerd leidt elk stukje ingewonnen informatie of combinatie van meerdere stukjes tot het bereiken van een doel. Techniek Een SE-aanval zal technische middelen gebruiken in de vorm van hulpmiddelen. Zonder deze hulpmiddelen zijn een aantal methoden onmogelijk uitvoerbaar. De nadruk bij een aanval zal liggen op het gebruik van sociale vaardigheden. Een aanval in zijn totaliteit zal bestaan uit een mix van technische en niet-technische methoden. Praktijk In de interviews (zie Appendix A Vragenlijst) geeft een respondent van de vragenlijst aan dat de methoden 4, 5, 6, en 7 worden gebruikt tijdens een penetratietest van een gerenommeerd bedrijf dat beveiligingsscans uitvoert. Een penetratietest wordt uitgevoerd om zwakheden op het gebied van beveiliging binnen een bedrijf aan te tonen [BAR]. Er wordt tevens aangegeven dat methode 15 en 16 zeer bruikbaar zijn, maar dat deze methoden in de praktijk heel tijdrovend zijn. Een respondent merk op dat het aantal social engineeringaanvallen de laatste tijd is afgenomen doordat de strafmaatregelen zijn verhoogd. Om te komen tot een passende oplossing om SE tegen te gaan en te voorkomen zal er gekeken worden naar de verschillende informatiestromen binnen een social engineeraanval. Omdat informatie de sleutel tot succes van een social engineeraanval is het belangrijk in kaart te brengen welke informatiestromen er allemaal lopen binnen een aanval. Het model in het volgende hoofdstuk zal dan ook gebaseerd zijn op de verschillende informatie die wordt ingewonnen. Pagina 45 van 118

46 DPM Janssen 3.6 Het social engineeringaanvalsmodel Het model zal de informatiestromen in kaart brengen die de social engineer nodig heeft om te komen tot het einddoel. Om te komen tot het model zijn de volgende gegevens gebruikt: De vier verschillende fasen uit paragraaf 3.1: o Fase I: Globale informatie verkrijgen o Fase II: Specifieke informatie verkrijgen o Fase III: Toegang tot informatie systemen verkrijgen o Fase IV: Het einddoel realiseren De 16 verschillende methoden van Social engineering uit paragraaf 3.3: o Methode 1 Afval doorzoeken o Methode 2 Nep websites o Methode 3 Trojan horses / Virussen o Methode 4 Identiteit verwisseling: de software fabrikant o Methode 5 Identiteit verwisseling: de helpdesk medewerker o Methode 6 Identiteit verwisseling: de persoon met autoriteit o Methode 7 Identiteit verwisseling: de collega o Methode 8 Omgekeerde Social Engineering o Methode 9 Phreaking o Methode 10 Directe toenadering o Methode 11 Spionage o Methode 12 Gedragspatroon analyse o Methode 13 De goede vriend o Methode 14 Profilering o Methode 15 Fysieke verkenning o Methode 16 Fysieke aanval De 19 verschillende informatie eenheden die een rol spelen uit paragraaf 3.4 o Informatie a Namen van medewerkers o Informatie b Functies van medewerkers o Informatie c Structuur van het bedrijf o Informatie d Nieuwe medewerkers o Informatie e Bedrijfsjargon o Informatie f Interne telefoonnummers o Informatie g adressen o Informatie h Inlognamen o Informatie i Wachtwoorden o Informatie j Namen van servers o Informatie k Namen van applicaties (remote acces software, besturingssysteem, firewalls, informatiesystemen) o Informatie l o Informatie m IP adressen o Informatie n Bedrijfsprocessen o Informatie o Medewerkers agenda o Informatie p Bedrijfslogo s Handleidingen van applicaties o Informatie q IT infrastructuur o Informatie r Data uit informatie systemen Pagina 46 van 118

47 DPM Janssen o Informatie s Bedrijfsgeheimen (zoals broncode van een applicatie) In het model worden deze drie gegevenscategorieën aan elkaar gekoppeld. In het model komt naar voren welke gegevens, wanneer en hoe vaak gebruikt worden. In het laatste deel van het onderzoek worden er maatregelen om SE tegen te gaan en te voorkomen voorgesteld. Het model wordt in dit hoofdstuk gebruikt om te zoeken naar oplossingen Verklaring aanvalsmodel Het model heeft als doel de informatiestromen binnen een social engineeraanval in kaart te brengen. Om dit op een overzichtelijke manier te modelleren is er gekozen voor een activiteiten modellering techniek. Met deze techniek is het mogelijk om stap voor stap de informatiewinning te modelleren. De specifieke naam van de methode die binnen deze techniek gebruikt is heet Data Flow Diagram [WORK]. Het doel van het model is te kunnen zien per informatie-eenheid hoe vaak deze zal worden ingewonnen. Hieruit kan de volgende conclusie worden getrokken: hoe vaker informatie ingewonnen wordt (hoe meer inkomende pijlen een informatie-eenheid bevat), des te belangrijker is deze voor het slagen van een SEmethode. Het is namelijk zo dat een SE-aanval niet te allen tijde gebruik zal maken van alle methoden in een fase. Als we deze situatie in een formule opschrijven krijgen we: social engineeringaanval = {fase I, fase II, fase III, fase IV} fase {social engineeringaanval} = {methode 1, methode 2, methode 3, methode 4, methode 5, methode 6, methode 7, methode 8, methode 9, methode 10, methode 11, methode 12, methode 13, methode 14, methode 15, methode 16} methode { fase{ social engineeringaanval}} = {informatie a, informatie b, informatie c, informatie d, informatie e, informatie f, informatie g, informatie h, informatie i, informatie j, informatie k, informatie l, informatie m, informatie n, informatie m, informatie o, informatie p, informatie q, informatie r, informatie s} In de eerste drie modellen wordt per fase bekeken welke methoden hierbinnen gebruikt worden. De methoden leveren ieder een stukje informatie op. Deze relatie wordt aangeven door middel van een pijl. Het kan ook zijn dat methoden samen zijn gevoegd. Dit is gedaan om het geheel overzichtelijk te houden. Methoden die zijn samengevoegd richten zich op precies dezelfde informatie eenheden. Omdat eerder in het onderzoek is vastgesteld dat in fase 3 geen informatie wordt ingewonnen wordt deze fase weggelaten in het model (anders zou er een leeg model ontstaan). De volgende drie modellen geven weer hoeveel uitgaande pijlen de methoden bevatten en hoeveel inkomende pijlen de informatie eenheden bevatten. Deze informatie is van belang om te bekijken welke informatie het meeste ingewonnen wordt. Voor de uitgaande pijlen geldt: het totaal van de uitgaande pijlen van de methoden van een bepaalde fase is gelijk aan het totaal van de inkomende pijlen van de informatie van een bepaalde fase. Als we deze situatie in een formule opschrijven krijgen we: Voor {fase} geldt: Totaal uitgaande pijlen {methoden} = Totaal inkomende pijlen {informatie} Het eerste figuur bevat een legenda met de uitleg van de verschillende onderdelen die gebruikt worden in de modellen. Pagina 47 van 118

48 DPM Janssen Legenda Fase { I, II, III, IV } = De verschillende fasen van een social engineeraanval met daarbinnen de gebruikte methoden in de betreffende fase = De verzameling van informatie die ingewonnen is tijdens een bepaalde fase Methode { 1-16 } = Een social enigneermethode { A, B, C, D, E, F, G, H, I, J, K, L, M, N, O, P, Q, R, S } = Een Informatie-eenheid Methode { 1-16 } = De uitgaande pijlen van een methode { 1-19 } 6 { A, B, C, D, E, F, G, H, I, J, K, L, M, N, O, P, Q, R, S } = De inkomende pijlen van een informatie-eenheid Pagina 48 van 118

49 DPM Janssen Pagina 49 van 118

50 DPM Janssen Fase II Specifieke informatie verkrijgen Methode 1 Afval doorzoeken Methode 7 Identiteit verwisseling: de collega Methode 15 Fysieke verkenning Methode 16 Fysieke aanval Methode 2,3,8,10,11 Methode 4,5,6 Methode 12 Gedragspatro on analyse Methode 13 De goede vriend 5X 3X H. Inlognamen I. Wachtwoorden J. Namen van servers K. Namen van applicaties L. Handleidingen van appl M. IP adressen N. Bedrijfsprocessen O. Medewerkers agenda P. Bedrijfslogo's Q. IT infrastructuur Pagina 50 van 118

51 DPM Janssen Pagina 51 van 118

52 DPM Janssen Pagina 52 van 118

53 DPM Janssen Fase II Specifieke informatie verkrijgen Methode 1 Afval doorzoeken Methode 7 Identiteit verwisseling: de collega Methode 15 Fysieke verkenning Methode 16 Fysieke aanval Methode 2,3,8,10,11 Methode 4,5,6 Methode 12 Gedragspatro on analyse Methode 13 De goede vriend H. Inlognamen I. Wachtwoorden J. Namen van servers K. Namen van applicaties L. Handleidingen van appl M. IP adressen N. Bedrijfsprocessen O. Medewerkers agenda P. Bedrijfslogo's Q. IT infrastructuur Pagina 53 van 118

54 DPM Janssen Pagina 54 van 118

55 DPM Janssen Conclusies aanvalsmodel Het doel van het model is om te kijken welke informatie het vaakste ingewonnen wordt met als achterliggende gedachte dat deze informatie het belangrijkste is voor de social engineer. Er is gekeken naar de inkomende pijlen per informatie-eenheid. Uit het model volgt de volgende opsomming gerangschikt naar de frequentie. Informatie eenheid Frequentie Informatie h Inlognamen 10 Informatie i Wachtwoorden 10 Informatie m IP adressen 7 Informatie a Namen van medewerkers 6 Informatie b Functies van medewerkers 6 Informatie j Namen van servers 6 Informatie k Namen van applicaties 6 Informatie c Structuur van het bedrijf 5 Informatie d Nieuwe medewerkers 5 Informatie f Interne telefoonnummers 5 Informatie e Bedrijfsjargon 4 Informatie n Bedrijfsprocessen 4 Informatie o Medewerkers agenda 4 Informatie p Bedrijfslogo s 4 Informatie q IT infrastructuur 4 Informatie g adressen 3 Informatie r Data uit informatie systemen 3 Informatie l Handleidingen van applicaties 2 Informatie s Bedrijfsgeheimen 2 Tabel 3: Frequentie per informatie-eenheid De conclusie is dat de social engineer het vooral gemunt heeft op inlognamen en wachtwoorden. Als deze gegevens worden beveiligd zal de social engineer nooit zijn einddoel kunnen bereiken tenzij hij gebruik maakt van de methoden: o Methode 1 Afval doorzoeken o Methode 7 Identiteit verwisseling: de collega o Methode 16 Fysieke aanval Het is namelijk zo dat deze 3 methoden zich meteen richten op de einddoelen: o Informatie r Data uit informatie systemen o Informatie s Bedrijfsgeheimen Het is dus van belang om de informatie eenheden inlognamen en wachtwoorden te beveiligen en tevens oplossingen te bieden voor methode 1, 7 en 16. De oplossingen worden aangedragen in Hoofdstuk 6 Voorkomen van en wapenen tegen social engineering. Pagina 55 van 118

56 4 Drijfveren achter social engineering Sun Tzu schreef ooit in The Art of War [TZU], If you know yourself but not the enemy, for every victory gained you will also suffer a defeat. Hij onderkende dat het belangrijk was je vijand te kennen. Vanuit deze gedachte worden de drijfveren van de social engineer, de vijand in de ogen van de getroffen bedrijven, achterhaald. Door te kijken vanuit de social engineer kan er gezocht worden naar efficiëntere oplossingen om SE te voorkomen. Er wordt aangenomen dat een social engineer altijd zal handelen vanuit een drijfveer. De drijfveren van de social engineer zullen in een later stadium gekoppeld worden aan een bepaald bedrijfsprofiel. De drijfveer geld zal bijvoorbeeld gekoppeld kunnen worden aan het bedrijfsaspect waardevolle informatie (die veel geld waard is). Omdat het ondoenlijk is gebleken contact op te nemen met social engineers in de praktijk is in dit gedeelte alleen gekeken naar de literatuur [HIM], [MIT], [GSEC], [AUS], [MASH], [ROG], [ARI], [KRAT], [JOR], [ANTI]. In de literatuur zijn echter veel cases te vinden van social engineeraanvallen in de praktijk die worden toegelicht door ex-social engineers of door beveiligingsexperts. Hieruit zijn dan ook een aantal drijfveren te destilleren. Het achterhalen van de drijfveren van de social engineer wordt vanuit twee perspectieven bekeken. Het eerste perspectief zal bestaan uit verschillende subculturen binnen de hackergemeenschap (Paragraaf 4.1). Er zijn subculturen vastgesteld en vervolgens wordt er bepaald wat de karakteristieken van deze subculturen zijn. Dit is gedaan met het oog op het bepalen of er binnen een dergelijke subcultuur gebruik wordt gemaakt van SE en dan wel met kwaadaardige bedoelingen. Omdat de social engineer niet altijd binnen een subcultuur valt, er zijn immers ook social engineers die alleen te werk gaan en dus opereren als The Lonely wolf, wordt er ook gekeken naar afzonderlijke drijfveren van een aantal hacker aanvallen op bedrijven. Het tweede deel bestaat dan ook uit de benadering om rechtstreeks verschillende motieven te bekijken en niet door wie deze worden gebruikt (Paragraaf 4.2). Door te kijken naar de verschillende doelstellingen van SE kunnen deze doelstellingen gematcht worden met de doelstellingen achter de verschillende motieven. Een doelstelling van een SE-poging kan bijvoorbeeld zijn: gevoelige informatie stelen om deze vervolgens te verkopen. Het bijbehorende motief bestaat in dit geval uit het financiële motief. De conclusie van dit voorbeeld zal dan zijn dat een social engineer kan handelen vanuit een financieel motief. Deze twee perspectieven worden gecombineerd en hieruit volgt een overzicht van drijfveren die ten grondslag kunnen liggen aan een hacker aanval. Om de relevantie van SE vast te stellen worden er een aantal variabelen toegepast op de drijfveren. In Paragraaf 4.3 wordt bepaald welke verschillende motieven ten grondslag liggen aan SE. Dat zal gedaan worden aan de hand van de beschrijving van verschillende aspecten van deze motieven. Ter afsluiting van dit hoofdstuk zal er in Paragraaf 4.4 aan de hand van een model worden weergeven hoe de uiteindelijke drijfveren gedestilleerd zijn. Pagina 56 van 118

57 4.1 De hacker-gemeenschap In het artikel Who are the hackers? [MASH] worden hackers beschreven aan de hand van hun motieven. In dit artikel worden de hackers met zowel goedaardige als kwaadaardige bedoelingen beschreven. SE is een techniek die binnen de hacker-gemeenschap gebruikt wordt en is tijdens dit onderzoek bekeken vanuit de kwaadaardige kant. De hackers met kwaadwillende bedoelingen richten het meeste schade aan bij bedrijven en het is van belang dat dit soort aanvallen voorkomen worden. De hackers met kwaadwillende bedoelingen zijn bekend onder de naam crackers. [DIC2], [ROG] Het volgende figuur geeft de verdeling van de hacker-gemeenschap weer: Geen intentie schade te veroorzaken Intentie schade te veroorzaken hacker-gemeenschap Hackers Crackers Social engineering Crackers Figuur 5: De indeling van de hacker-gemeenschap Zoals in het figuur zichtbaar is richt dit onderzoek zich hackers die de intentie hebben om schade aan te brengen, met andere woorden de crackers, die gebruik maken van SE. SE is een instrument dat kan worden ingezet in de gehele hacker gemeenschap er zijn echter subculturen die er geen of nauwelijks gebruik van maken. De onderverdeling binnen de gemeenschap wordt gemaakt door te kijken naar mensen met dezelfde eigenschappen. De mensen vallen automatisch in een bepaalde subgroep. Het is dus niet zo dat mensen zelf een bepaalde subcultuur hebben opgericht. Om een social engineer te onderscheiden kan ook gekeken worden naar de manier waarop hij te werk gaat. Waar de verschillende hackers gebruik maken van technische hulpmiddelen zal de social engineer vooral gebruik maken van zijn sociale vaardigheden. Een reguliere hacker zal een virus schrijven of Trojan horse gebruiken om wachtwoorden te achterhalen bij een Pagina 57 van 118

58 slachtoffer. Hij zal dit toen met puur technische hulpmiddelen. Hij zal bijvoorbeeld inbreken op het systeem van het slachtoffer en daarop de Trojan horse installeren, die hem vervolgens allerlei wachtwoorden zal doorsturen. Er is een verschil met de social engineer, die ook gebruik maakt van de Trojan horse (zie paragraaf 3.3.3), maar hij probeert de Trojan horse te installeren door gebruik te maken van zijn sociale vaardigheden. De kracht van de social engineer is om het slachtoffer te beïnvloeden door gebruikt te maken van zijn sociale vaardigheden en het slachtoffer zo ver te krijgen de Trojan horse te installeren. In feite is het verschil: de social engineer dringt een systeem binnen met zijn social vaardigheden en de reguliere hacker met technische kennis. Hackers kunnen volgens [MASH] onderverdeeld worden in 3 groepen ingedeeld aan de hand van de motivaties: Ongedwongen Hackers, politieke hackers en georganiseerde misdaad De ongedwongen hackers Deze groep hackers heeft als motivatie nieuwsgierigheid. Het hacken van computers geeft hen een kick. Deze groep wordt gekenmerkt door het feit dat zij niet veel technische/sociale vaardigheden bezitten. Ze maken in de meeste gevallen gebruik van bestaande tools (13) gemaakt door meer ervaren hackers. Een bekend gegeven is ook dat de hacker een aantal aanwijzingen achter laat op het ingebroken systeem. Nog een andere motivatie van deze soort hackers bestaat uit acceptatie door andere hackers, met andere worden respect afdwingen Politieke hackers Deze soort hackers, ook vaker cyberactivisten genoemd, handelen vanuit een politieke motivatie. Ze gebruiken hun kennis om een bepaalde politieke boodschap uit te dragen naar de maatschappij. Vaak zijn bedrijven en instanties die in strijd zijn met deze politieke boodschap het doelwit van deze groep hackers. De meest gebruikte methode is een DDOSaanval waarbij een webserver van een bedrijf plat gelegd wordt. Uit onderzoek is gebleken dat de vaardigheden van deze groep erg gevarieerd zijn Georganiseerde misdaad Dit is de verzamelnaam voor de hackers die inbreken in systemen om daaruit financieel voordeel te behalen. De motivatie is in deze dus geld. Ze hebben het vooral gemunt op geheime informatie zoals bedrijfsgeheimen, productplannen en creditcardnummers. Het is een veel gebruikte manier binnen de wereld van bedrijfsspionage. Deze groep hackers gaat zeer zorgvuldig te werk; men bereidt zich zeer goed voor op een aanval. Men zorgt er ook voor dat alle sporen bij een aanval zorgvuldig worden gewist. Deze groep hackers maakt vaak gebruik van SE. Een andere verdeling wordt gegeven door [ROG]. Opvallende in deze verdeling is dat de groepen vooral zijn ingedeeld aan de hand van hun deskundigheid op het technische vlak. SE richt zich voornamelijk op het menselijke vlak en daarom kan er geen koppeling gelegd worden tussen het gebruik van SE en de mate van technische kennis. Het doel is wederom om verschillende groepen te classificeren en daaruit verschillende drijfveren te achterhalen die mogelijk een drijfveer vormen voor de social engineer Newbie/tool kit Deze groep bestaat uit personen die een gelimiteerde kennis van computers en programmeren hebben. Deze mensen zijn nieuw in de hackergemeenschap en maken gebruik van bestaande technieken en tools. De drijfveren binnen deze groep bestaan vooral uit nieuwsgierigheid en respect afdwingen. Deze groep kan gevaarlijk zijn omdat ze vaak Pagina 58 van 118

59 niet helemaal door hebben wat het effect van hun gedrag allemaal kan veroorzaken. Deze groep zal geen gebruik maken van SE, omdat er puur technische middelen worden ingezet en men heeft vaak niet de sociale vaardigheden die benodigd zijn om SE uit te voeren Cyber punks De mensen in deze groep hebben redelijk veel kennis van computers en programmeren. Men heeft de kennis om stukjes kwaadaardige software te creëren en men heeft kennis van de systemen die men aanvalt. Binnen deze groep kan gebruik worden gemaakt van SE om erachter te komen hoe systemen in elkaar zitten binnen bedrijven. Deze groep is ook bezig met kwaadaardige activiteiten; het versturen van spam (12) en het platleggen van websites zijn acties die regelmatig worden uitgevoerd. Velen zijn ook bezig met het bemachtigen van creditcardnummers en het verkrijgen van gratis telecom diensten. De drijfveer zal in de meeste gevallen van financiële aard zijn Internals Deze groep zal bestaan uit interne medewerkers die in de meeste gevallen handelen vanuit wraak omdat ze ergens binnen het bedrijf over gefrustreerd zijn. Dit onderzoek richt zich niet op interne bedreigingen omdat hierbij weer allerlei andere aspecten komen kijken. Als een medewerker echter ontslagen wordt, zal hij in sommige gevallen sociale engineeringtechnieken gebruiken om een bedrijf schade toe te brengen. Vaak zullen dit personen zijn met een ICT achtergrond en zijn daardoor bekend met de techniek. Deze uitspraak wordt ook onderkend door een security consultant van (BSM): Hoe hoger het verloop, hoe hoger de kans op een SE-aanval Het motief wraak is dus wel degelijk relevant voor SE. Een ander motief binnen deze sector bestaat uit jaloezie. Men is vaak jaloers op de positie van andere medewerker Coders Dit is een groep die vooral bezig is met het ontwikkelen van kwaadaardige stukjes programma zoals virussen en Trojan horses. Het doel is vaak uitproberen hoe ver men kan gaan binnen de huidige stand van de techniek. De drijfveer is vooral de intellectuele uitdaging en het afdwingen van respect bij de gemeenschap Old guard hackers Deze groep bestaat uit mensen met geen criminele intenties. Vaak houden ze zich vast aan ethische principes als privacy en vrijheid van informatiedeling [HIM],[ARI], [GOR], [MIT]. Deze groep is vooral bezig met de intellectuele uitdagingen. Men zoekt zwakheden in informatiesystemen maar maakt hier echter geen gebruik van in negatieve zin. Men draagt bij aan innovatie binnen de ICTsector. Bedrijven die slachtoffer zijn van een aanval zullen hiervan geen schade ondervinden maar juist voordeel. Doordat er beveiligingslekken worden blootgelegd kan het bedrijf hierop inspelen Professional criminals Dit is een zeer gevaarlijke groep die uit is op financiële middelen. Ze beschikken vaak over de nieuwste technische hulpmiddelen en houden zich bezig met zaken als bedrijfsspionage en afpersing. Deze groep zal veelvuldig gebruik maken van SE en is vaak goed getraind in deze techniek. Pagina 59 van 118

60 Cyber terrorists Deze groep is te vergelijken met professional criminals maar handelt vanuit een ander motief: namelijk politiek. Men heeft een bepaalde politieke overweging of een bepaald geloof. Mensen met een ander geloof of politieke overweging zijn het slachtoffer van deze groep. Uit de opdeling blijkt dat er nogal een onderling verschil bestaat tussen de subculturen. De aspecten die het meeste variëren zijn de technische kennis, sociale vaardigheden en de gehanteerde principes. Het is in dit onderzoek niet zozeer van belang welke groepen er bestaan, maar de focus ligt op het onderzoek naar de motieven van een bepaalde groep waarbinnen SE wordt toegepast. Het blijkt dat SE geen groep op zich is, maar een instrument dat wordt toegepast binnen bepaalde groepen. Het is daarom van belang dat alle groepen binnen de hackergemeenschap bekeken zijn om daaruit af te leiden of SE wordt toegepast en wat vervolgens de drijfveren van die groep zijn. 4.2 Drijfveren Omdat de social engineer niet altijd binnen een subcultuur valt, er zijn immers ook social engineer die zich niet bezig houden met culturen en dus opereren als The Lonely wolf, wordt er ook gekeken naar afzonderlijke drijfveren van een aantal hack aanvallen op bedrijven. In deze paragraaf worden deze drijfveren uiteen gezet. Het begrijpen van de motieven van de tegenstanders kan de veiligheidsreactie op aanvallen verbeteren. Een beter begrip van het menselijke gedrag draagt bij aan de verbetering van de beveiliging [GSEC]. Dit citaat maakt duidelijk dat het belangrijk is de drijfveren van de social engineer te achterhalen. Als deze drijfveren bekend zijn kan er vooraf bepaald worden waarom een aanval wordt uitgevoerd en kunnen aanvallen voorkomen worden. In het artikelen [MASH], [GSEC] en [AUS] worden ook een aantal motieven onderkend Economisch De meeste mensen kiezen een weg die legaal en ethisch verantwoord is. Maar soms komen mensen in een zodanige situatie terecht zodat men de wet overschrijdt en tevens de ethische principes opzij zet, met als oorzaak een economische drijfveer. Onder economisch valt natuurlijk ook de drijfveer geld. Geld kan op de volgende manieren verkregen worden: creditcard nummers, gevoelige data stelen, stelen van waardevolle diensten zoals rekencapaciteit van een computer, het stelen van intellectuele eigendommen, afpersing, het stelen van telefoon services, en het stelen van marketing informatie Persoonlijke interesses Mensen willen informatie betreffende hun familie of buren. Deze drang naar informatie bloeit voort uit nieuwsgierigheid Wraak Deze motivatie komt men frequent tegen in de praktijk. Als bijvoorbeeld een medewerker ontslagen wordt (eventueel op een oneerlijke manier) zul je vaak zien dat zijn wraak gevoelens er hoog zijn. Wraak komt meestal voor bij mensen die onrecht is aangedaan Entertainment Deze drijfveer kan aangemerkt worden als nieuwsgierigheid. Deze groep hackers handelen vanuit persoonlijke bevrediging, men vindt het interessant en spannend om zich bezig te Pagina 60 van 118

61 houden met hacken. In het boek van Kevin Mitnick [MIT] komt een ex-hacker aan het woord en die maakt een vergelijking tussen journalistiek en hacken: Voor mij is journalistiek de beste carrière die ik zou kunnen kiezen. Nieuwsgierigheid en de wil om dingen anders te zien, willend om meer over de wereld rond mij te weten te komen. Hetzelfde motief als hacken Intellectuele uitdaging Deze groep hackers houdt ervan een intellectuele uitdaging aan te gaan. Ze zijn dan ook vooral geïnteresseerd in de nieuwste technieken en ze proberen deze te kraken. Deze groep is niet zozeer geïnteresseerd in erkenning van buitenaf. De Social engineer wordt binnen deze groep gezien als iemand die niet goed genoeg is (technisch gezien) en daarom de techniek maar gaat ontwijken Toegang tot sociale groepen Deze motivatie hangt vooral samen met status. Door het hacken krijgen de groepsleden een bepaalde status en daarmee respect. Deze hackers delen hun kennis in zogenoemde online communities Rechtvaardiging Deze groep hackers is bezig met het testen van beveiligingen met als doel ze daarna te kunnen verbeteren. Maar ze zetten zich ook in voor goede doelen zoals het bestrijden van kinderporno en andere ethisch onverantwoorde activiteiten Macht Sommige hackers krijgen een grote mate van voldoening wanneer ze de macht hebben over een bepaald computersysteem Diensten Hackers met deze motivatie zijn erop uit zichzelf gratis diensten te kunnen verschaffen. Hij heeft het vooral voorzien op diensten zoals gratis bellen, digitale opslag capaciteit, en rekencapaciteit. Deze hackers stelen dus diensten van een bedrijf, zodat men deze zelf kan gebruiken Politiek Hackers die handelen vanuit politieke overwegingen hebben vaak een sterke mening over bepaalde zaken. Als er bedrijven en/of overheidsinstanties zijn die indruisen tegen deze mening zal de hacker er alles aan doen om deze bedrijven en/of instanties tegen te werken. Een voorbeeld van een politieke aanval is het platleggen van een website van een bepaalde politieke partij. In 2004 werd er in opdracht van de Australische overheid een onderzoek gedaan naar de motieven van de hackers [AUS]. De cijfers zijn gebaseerd op de vraag aan respondenten wat volgens hen de motivatie van de hacker is. De groep respondenten bestond uit mensen uit de praktijk van verschillende bedrijfssectoren. De respondenten gaven verschillende motieven voor verschillende hack-aanvallen. Vandaar dat het totaal de honderd procent overschrijdt. Pagina 61 van 118

62 Uit het onderzoek kwamen de volgende cijfers: 40 % demonstreren van vaardigheden 34% schade toebrengen 26% ter voorbereiding op toekomstige aanvallen (zodat deze anoniem kunnen worden uitgevoerd) 18% financiële overwegingen 18% onbekend 14% persoonlijke ontevredenheid 9% politieke overwegingen 4% concurrentie overwegingen De mensen uit de praktijk denken dus dat de hacker zal handelen vanuit deze motieven. Op de website van antionline.com 1 wordt een artikel gepubliceerd waar de hackers worden ingedeeld in groepen, gebaseerd op hun motivaties [ANTI]. De volgende groepen worden onderscheiden: Groep 1 Sociale motivatie De meeste hackers zullen vallen binnen deze groep. Zij hacken om respect bij andere hackers af te dwingen, een gevoel van zelf superioriteit te winnen, of een gevoel van controle te bemachtigen. Groep 2 Technische motivatie De technisch gemotiveerde computerkraker is maar een kleine groep. Deze mensen hacken om de evolutie van technologie te bevorderen. Zij leggen door middel van in te breken op systemen de zwakheden van die systemen bloot. De beheerders van de systemen zijn vervolgens gedwongen deze zwakheden te herstellen, zodat de beveiliging verbeterd wordt. Groep 3 Politieke motivatie In deze groep bevinden zich mensen die een sterke politieke mening hebben en deze ook uitdragen. Deze computerkrakers breken in op informatiesystemen om hun meningen via deze informatiesystemen te ventileren naar het grote publiek. Dit gebeurd bijvoorbeeld door in te breken op het informatiesysteem van een website. Door de inhoud van de website aan te passen kan een mening worden geventileerd. Binnen deze categorie is het moeilijk te bepalen wie er allemaal tot behoort. Bij deze groep hoort bijvoorbeeld ook het cyberterrorisme, men kan immers via Internet propaganda maken voor bijvoorbeeld een heilige oorlog. Groep 4 Financiële motivatie Deze groep bestaat uit criminelen die financieel voordeel uit hun hack pogingen willen halen. Dit kan op manieren als bedrijfsspionage, banken en/of mensen beroven, en tevens software kraken en verkopen. Groep 5 Regering motivatie Deze groep neemt Groep 3 naar een hoger niveau. Informatieoorlogvoering en regeringsspionage zou in deze categorie passen. 1 AO is een wereldwijde gemeenschap van veiligheid, netwerk en computerdeskundigen, studenten en scherpe amateurs die hier komen om de principes en details van computer/netwerk veiligheid te leren. Pagina 62 van 118

63 4.3 Classificatie van de drijfveren In deze paragraaf worden de verschillende drijfveren uit de paragrafen 4.1 en 4.2 geclassificeerd, met als doel te bepalen, of er binnen SE gehandeld wordt vanuit deze drijfveren Verantwoording gekozen variabelen In deze paragraaf wordt een verantwoording gegeven over de variabelen die gekozen zijn om de drijfveren te beschrijven. Een drijfveer kan bijvoorbeeld beschreven worden aan de hand van de technische middelen die gebruikt worden, deze variabele is echter niet relevant voor het onderzoek. Het doel is namelijk de drijfveren te achterhalen die ten grondslag liggen aan Social engineering. De drijfveer moet niet alleen ten grondslag liggen aan social engineering maar moet ook de intentie hebben schade aan te brengen. Drijfveren die ten grondslag liggen aan social engineering maar geen intentie hebben schade aan te brengen zijn niet relevant voor dit onderzoek omdat er gekeken wordt vanuit bedrijven die schade ondervinden. Er treed alleen schade op als er gehandeld wordt vanuit de intentie om schade aan te brengen. De drijfveren worden beschreven aan de hand van de hierna besproken variabelen Benaming Bij deze variabele wordt een identieke naam gekozen voor een drijfveer. Het is van belang dat er onderscheid wordt gemaakt tussen een hoofddrijfveer en een subdrijfveer. Een voorbeeld hiervan is de drijfveer acceptatie. Een hacker houdt zich bezig met hacken, om toegang te vinden tot een bepaalde sociale groep. Een subdrijfveer in dit verhaal is respect. Respect hangt namelijk samen met acceptatie en is daar een onderdeel van. Met andere woorden, als iemand handelt vanuit de drijfveer respect handelt hij eigenlijk vanuit de drijfveer acceptatie, omdat dit zijn einddoel omvat. Alle beschreven hoofddrijfveren zijn te vergelijken met einddoelen van een actie. Deze variabele is van toepassing op alleen hoofddrijfveren Beschrijving Deze variabele geeft een beschrijving van de drijfveer weer. Er wordt beschreven waarom de hacker handelt vanuit deze drijfveer Intentie Er wordt bekeken wat de intentie van de hacker is. Deze kan bestaan uit zowel kwaadaardige, goedaardige als beide intenties. Een drijfveer met zowel goede als kwaadaardige bedoelingen vraagt om wat meer uitleg. Bij bijvoorbeeld de drijfveer intellectuele uitdaging kan deze zowel ten grondslag liggen aan een hack poging met zowel goede als kwaadaardige intenties. Het ligt er namelijk aan, wat de hacker doet, zodra hij het systeem binnen is gedrongen. Zijn einddoel is het systeem binnen komen, maar het is niet duidelijk wat hij dan vervolgens met deze toegang gaat doen Ligt ten grondslag aan social engineering Er wordt gekeken naar de variabele ligt ten grondslag aan social engineering zodat duidelijk is wat de relevantie van de drijfveer voor het onderzoek is. Er wordt beoordeeld of de drijfveer ten grondslag ligt aan SE door de beschrijving van de drijfveren te koppelen aan het eerdere onderzoek over methoden van SE. In Hoofdstuk 3.3 worden de doelen van een methode beschreven. Als deze doelen overeenkomen met de doelen achter de drijfveren hebben we een match. Pagina 63 van 118

64 4.3.2 Variabelen toegepast op de drijfveren De variabelen worden systematisch toegepast op de drijfveren. Benaming Drijfveer 1 [GSEC], [AUS], [ARI], [JOR], [MASH] Nieuwsgierigheid Beschrijving De hacker is benieuwd naar de digitale wereld om zich heen en gaat deze verkennen. Intentie Goedaardig, men is nieuwsgierig naar de wereld om zich heen en men zal alleen verkennen en geen schade aanbrengen Ligt ten grondslag aan social engineering Ja, social engineering wordt ingezet om informatie in te winnen Benaming Drijfveer 2 [GSEC], [AUS], [ARI], [JOR], [ROG] Voor de kick Beschrijving De hacker raakt opgewonden door het bemachtigen van informatie die eigenlijk geheim is. Intentie Goedaardig, men handelt puur voor het krijgen van de kick en zal geen schade aanbrengen Ligt ten grondslag aan social engineering Ja, social engineering wordt ingezet om informatie in te winnen Benaming Drijfveer 3 [AUS], [ARI], [JOR], [ROG] Acceptatie Beschrijving De hacker wil horen bij een sociale gemeenschap en heeft als drijfveer acceptatie in deze gemeenschap. Door het uitvoeren van verschillende hacks, dwingt de hacker respect af bij de gemeenschap en hieruit volgt vanzelf de acceptatie. Een ander aspect binnen acceptatie is macht, er geldt namelijk naarmate het respect toeneemt, zal de macht ook toenemen. Intentie Zowel goedaardig als kwaadaardig, dit hangt geheel af van wat de normen en waarden van de beoogde gemeenschap zijn. Ligt ten grondslag aan social engineering Ja, wordt gebruikt om informatie los te krijgen om vervolgens systemen binnen te dringen. Benaming Drijfveer 4 [GSEC], [ARI], [MASH] Politiek Beschrijving De hacker heeft een sterke politieke boodschap. Hij gebruikt zijn kennis om een bepaalde politieke boodschap uit te dragen naar de maatschappij. Vaak zijn bedrijven en instanties die in strijd zijn met deze politieke boodschap het doelwit van deze hacker. Intentie Kwaadaardig, meestal heeft de hacker er alles voor over om zijn mening te verkondigen dit kan dus ook schade toebrengen aan bedrijven en overheidsinstanties. Ligt ten grondslag aan social engineering Pagina 64 van 118

65 Ja, social engineering wordt ingezet om binnen te komen in bedrijven en/of instanties. Benaming Drijfveer 5 [GSEC], [AUS], [ARI], [ROG], [MASH] Financieel Beschrijving Dit is de verzamelnaam voor de hackers die inbreken in systemen om daaruit financieel voordeel te behalen. De motivatie is in deze dus geld. Ze hebben het vooral gemunt op geheime informatie (bedrijfsgeheimen, productplannen), creditcard nummers. Het is een veel gebruikte manier binnen de wereld van bedrijfsspionage. Deze groep hackers gaat zeer zorgvuldig te werk, men bereidt zich zeer goed voor op een aanval. Men zorgt er ook voor dat alle sporen bij een aanval zorgvuldig worden gewist. Deze groep hackers maakt vaak gebruik van social engineering. Intentie Kwaadaardig, het slachtoffer zal altijd (financiële) schade ondervinden Ligt ten grondslag aan social engineering Ja, social engineering wordt ingezet om binnen te komen in bedrijven en/of instanties en zo informatie in te winnen Benaming Drijfveer 6 [GSEC], [AUS], [ARI], [ROG] Wraak Beschrijving De hacker handelt vanuit wraak, omdat hij ergens over gefrustreerd is. Intentie Kwaadaardig, de hacker handelt vanuit wraak en wil het slachtoffer schade toebrengen. Ligt ten grondslag aan social engineering Ja, social engineering wordt ingezet om binnen te komen in bedrijven en/of instanties of om informatie over bepaalde personen te achterhalen. Benaming Drijfveer 7 [GSEC], [AUS], [ARI], [JOR], [ROG], [MASH], [ROS] Intellectuele uitdaging Beschrijving De hacker houdt ervan om complexe problemen op te lossen en de huidige stand van de techniek te verbeteren. Intentie Goedaardig en/of kwaadaardig, de hacker is uit op het verbeteren van de techniek. Hij maakt echter ook, in sommige gevallen, gebruik van virussen en Trojan horses, die wel degelijk schade kunnen aanbrengen. Ligt ten grondslag aan social engineering Nee, de hacker richt zich op de techniek en maakt dus geen gebruik van zijn sociale vaardigheden. Benaming Drijfveer 8 [AUS], [ARI], [JOR] Rechtvaardiging Beschrijving De hacker kan aangemerkt worden als een wereldverbeteraar en handelt vanuit Pagina 65 van 118

66 zelfrechtvaardiging. Hij helpt bijvoorbeeld vrijwillig mee om kinderporno bezitters op de sporen. Intentie Goedaardig, de hacker is alleen uit op het verbeteren van de wereld Ligt ten grondslag aan social engineering Ja, om bepaalde stukjes informatie te bemachtigen wordt er gebruik gemaakt van social engineering Relevante drijfveren voor het onderzoek Deze paragraaf is de eigenlijke conclusie van dit hoofdstuk. Het doel is te kijken welke drijfveren er ten grondslag liggen aan SE. Er is eerst gekeken in de literatuur naar alle drijfveren van de hacker-gemeenschap. Omdat de hacker-gemeenschap geen homogene cultuur omvat [ROG], zijn we gaan kijken wat de plaats van SE binnen die gemeenschap is. De conclusie: SE is een instrument dat binnen de hacker-gemeenschap overal ingezet kan worden. Als we het einddoel van het onderzoek voor ogen houden is het de bedoeling dat er een stukje advies naar het bedrijfsleven toe gaat. Het is dus van belang dat een aanval schade toebrengt aan een bedrijf. Dit is de reden dat alleen SE met kwaadaardige intenties bekeken wordt. Om te bepalen of een drijfveer relevant is moet de invulling van de variabelen als volgt zijn: Variabele Gewenste waarde Benaming Niet van toepassing Beschrijving Niet van toepassing Intentie Kwaadaardig Maakt gebruik van social engineering Ja Een drijfveer moet dus een kwaadaardige intentie hebben en er moet tevens gebruik worden gemaakt van SE. De volgende drijfveren zijn dus relevant voor het onderzoek: Variabele Benaming Intentie Maakt gebruik van social engineering Variabele Benaming Intentie Maakt gebruik van social engineering Actuele waarde Acceptatie Kan, dit hangt geheel af van wat de normen en waarden van de beoogde gemeenschap zijn Ja, kan in kwaadaardige zin worden toegepast die hangt weer af van het soort gemeenschap waarin de hacker opereert Actuele waarde Politiek Ja, meestal heeft de hacker er alles voor over om zijn mening te verkondigen. Dit kan dus ook schade toebrengen aan bedrijven en overheidsinstanties. Ja, social engineering wordt ingezet om binnen te komen in bedrijven en/of instanties. Pagina 66 van 118

67 Variabele Benaming Intentie Maakt gebruik van social engineering Variabele Benaming Intentie Maakt gebruik van social engineering Actuele waarde Financieel Ja, het slachtoffer zal altijd (financiële) schade ondervinden Ja, social engineering wordt ingezet om binnen te komen in bedrijven en/of instanties en zo informatie in te winnen Actuele waarde Wraak Ja, de hacker handelt vanuit wraak en wil het slachtoffer schade toebrengen. Ja, social engineering wordt ingezet om binnen te komen in bedrijven en/of instanties of om informatie over bepaalde personen te achterhalen. De drijfveren Acceptatie, Politiek, Financieel, en Wraak zijn dus aangemerkt als relevant voor het onderzoek. Aan de hand van deze drijfveren in combinatie met SE-methoden wordt in het volgende hoofdstuk een bedrijfsprofiel opgesteld. De bedrijven die voldoen aan dit bedrijfsprofiel lopen een verhoogd risico om slachtoffer te worden van een social engineeraanval. Pagina 67 van 118

68 4.4 Samenvatting Ter afsluiting van dit hoofdstuk wordt er een model getoond waarin weergeven wordt hoe de drijfveren gedestilleerd zijn. Deze paragraaf dient als een samenvatting van dit hoofdstuk in de vorm van een grafische weergave. Drijfveer doel = Social engineer doel Hacker drijfveren -Nieuwsgierigheid -Voor de kick -Acceptatie -Politiek -Financieel -Wraak -Intellectuele uitdaging -Rechtvaardiging Kwaadaardige intentie Relevante drijfveren achter Social engineering -Acceptatie -Politiek -Financieel -Wraak Figuur 6: Model ter illustratie van de destillatie van de social engineer drijfveren Uitleg figuur: Zoals in het figuur wordt weergegeven zijn er eerste uit een literatuur onderzoek acht hacker drijfveren gedestilleerd. Als vervolgens de twee variabelen ( Ligt ten grondslag aan social engineering paragraaf , Intentie paragraaf ) op deze drijfveren worden toegepast resulteert dat in vier relevante drijfveer achter sociale engineering. Pagina 68 van 118

69 5 Social engineering in relatie met een kwetsbaar bedrijfsprofiel In dit hoofdstuk wordt door te kijken, naar enerzijds de verschillende drijfveren van waaruit de social engineer handelt en anderzijds methoden die de social engineer toepast, een relatie gelegd met een bepaald kwetsbaar bedrijfsprofiel. Bedrijven die voldoen aan dit bedrijfsprofiel zullen een verhoogd risico lopen om slachtoffer te worden van een SE-aanval en zullen zich dan ook moeten richten op extra beveiligingsmaatregelen. In paragraaf 5.1 wordt duidelijk gemaakt hoe de aanpak van dit deelonderzoek uitgevoerd is. In deze paragraaf wordt visueel duidelijk hoe uiteindelijk gekomen is tot het bedrijfsprofiel dat kwetsbaar is voor SE-aanvallen. Voor het bekijken van verschillende bedrijfsaspecten is er gebruik gemaakt van een methode die alle bedrijfsaspecten in kaart brengt. Deze methode zal besproken worden in paragraaf 5.2 De drijfveren uit hoofdstuk 4 zullen in paragraaf 5.3 ge-matched worden met verschillende bedrijfsaspecten. Deze matching zal gebeuren aan de hand van een matrix. In hoofdstuk 5.4 zullen de SE-methoden uit hoofdstuk 3.3 ge-matched worden met de verschillende bedrijfsaspecten. Dit zal wederom gebeuren met behulp van een matrix Om te komen tot een bedrijfsprofiel dat kwetsbaar is voor SE-aanvallen zal er in paragraaf 5.5 per bedrijfsaspect worden beschreven op welk punt dit aspect gevoelig is. Ter afsluiting wordt er in 5.6 het uiteindelijke profiel beschreven. Pagina 69 van 118

70 5.1 Aanpak De aanpak zal worden verklaard aan de hand van het onderstaan figuur: matching matching Social engineer methoden Social engineer drijfveren Bedrijfsaspecten Bedrijfsprofiel Figuur 7: Totstandkoming kwetsbaar bedrijfsprofiel Eerste zullen er bedrijfsaspecten van een bedrijf vastgesteld moeten worden. Deze bedrijfsaspecten zullen alle aspecten omvatten en niet alleen de relevante aspecten. De relevante aspecten zullen pas bekend worden als het uiteindelijke bedrijfsprofiel ook bekend is. De bedrijfsaspecten kunnen gezien worden als een aantal variabelen die verschillende waardes kunnen bevatten. De waardes die van belang zijn voor SE zullen worden vastgesteld door de bedrijfsaspecten te matchen met zowel SE-methoden als Social engineer drijfveren. Als bijvoorbeeld een bedrijfsaspect de grootte van een bedrijf is kan deze waardes aannemen als klein, gemiddeld, groot. In SE-methoden wordt gekeken of er ergens in een methode of case de grootte van een bedrijf wordt genoemd. Als dit het geval is hebben we een match en hebben we een gedeelte van het bedrijfsprofiel al ingevuld. Zo worden alle bedrijfsaspecten bekeken en voorzien van een waarde. Aan de andere kant hebben we nog de drijfveren die gematched worden. Zo hebben we bijvoorbeeld het bedrijfsaspect product. Hierbij is de waarde bijvoorbeeld geld. Het bedrijf is namelijk een bank. Als we gaan kijken naar de drijfveren hebben we een match gevonden bij de drijfveer financieel. Het bedrijfsaspect product met de waarde geld zal dus ook een onderdeel zijn van het bedrijfsprofiel. Als alle bedrijfsaspecten gematched zijn met zowel de methoden als drijfveren hebben we het uiteindelijke bedrijfsprofiel dat kwetsbaar is voor SE-aanvallen. 5.2 Profileringmethode Het is van belang dat er een aantal bedrijfsaspecten worden vastgesteld die gevoelig zijn voor SE. Omdat er in eerste instantie niet bekend is welke aspecten dit zijn is er gekozen voor een methode die basisaspecten van een bedrijf omschrijft. Deze methode kan gezien worden als Pagina 70 van 118

71 de basis voor dit deelonderzoek. In de volgende paragraaf zal de gekozen methoden uitgebreid besproken worden The Art of Management bouwstenen In The Art of Management [ART] worden een aantal referentiemodellen vergeleken. Deze referentiemodellen zijn allen veel in de praktijk gebruikte methoden. Deze referentiemethoden beschrijven ieder op hun eigen manier een aantal bedrijfsaspecten. Het doel van de referentiemodellen is het ondersteunen van management beslissingen met andere woorden waar moet een manager zich druk om maken bij het besturen van een organisatie. Omdat een manager zich moet richten op elk bedrijfsaspect, hij is ten slotte manager van de gehele organisatie met al zijn aspecten, hebben we hier een methode gevonden die alle bedrijfsaspecten beschrijft. Zoals je in het volgende figuur ziet bestaat het model van The Art of Management uit een zestal bouwstenen. Deze zes bouwstenen die gebruikt worden om belangrijke aandachtsgebieden aan te geven kunnen ook worden aangemerkt als bedrijfsaspecten. De bouwstenen zijn ontstaan vanuit de verschillende referentiemodellen. Figuur 8: Bouwstenen en referentiemodellen De referentiemodellen die gebruikt worden zijn volgens [ART] de belangrijkste management referentiemodellen die er in de wereld gebruikt worden. Er is gekozen voor de bouwstenen te gebruiken, en dus niet voor een bepaald referentiemodel, omdat in het figuur blijkt dat bepaalde referentiemodellen niet voorzien in alle bouwstenen. Als we bijvoorbeeld kijken naar het McKinsey model [KIN], [AKE] dan schiet dit tekort in Pagina 71 van 118